Chile | Protección de Datos: avanza tramitación de Reglamento del Modelo de Prevención de Infracciones

Chile | Protección de Datos: avanza tramitación de Reglamento del Modelo de Prevención de Infracciones

El nuevo Reglamento del Modelo de Prevención de Infracciones fija lineamientos y certificación para programas de cumplimiento en protección de datos

Actualmente se encuentra en proceso de toma de razón por parte de la Contraloría el Decreto N° 662/2025 del Ministerio de Hacienda, mediante el cual se aprueba el Reglamento del Modelo de Prevención de Infracciones, previsto en el artículo 49 de la Ley de Protección de Datos Personales.

El reglamento tiene por objetivo establecer los requisitos, modalidades y procedimientos para la implementación, registro y supervisión de los Modelos de Prevención de Infracciones.

Aunque su adopción es voluntaria, se deja claro que ello no exime a los responsables del deber de implementar acciones para prevenir infracciones y cumplir con las disposiciones de la Ley de Datos.

Elementos esenciales del MPI / Programa de Cumplimiento

Los programas de cumplimiento corresponden al Modelo de Prevención de Infracciones y pueden ser adoptados por cualquier responsable de datos, persona natural o jurídica. Entre sus principales contenidos se incluyen:

  • Individualización del responsable de datos y su representante legal.
  • Designación del Delegado de Protección de Datos (DPO), con definición de sus medios y facultades.
  • Se contempla la modalidad de “DPO as a Service”, obligándose siempre a designar a una persona natural en el contrato.
  • Caracterización de los datos personales tratados, incluyendo categorías, finalidades, fuentes, bases de licitud, plazos de conservación y existencia de decisiones automatizadas.
  • Posibilidad de cumplimiento con Registro de Actividades de Tratamiento (RAT) con contenidos mínimos definidos en la norma.
  • Identificación de actividades de tratamiento de mayor riesgo, incorporándolas en una matriz de riesgos graduada según las sanciones de la ley.
  • Protocolos, reglas y procedimientos específicos para que las personas que intervienen en actividades de tratamiento o procesos desempeñen sus tareas previniendo infracciones.
  • Mecanismos internos de reporte y denuncia ante el DPO, garantizando la reserva de identidad del denunciante y la prohibición de medidas desfavorables en su contra.
  • Sanciones administrativas internas y procedimientos sancionatorios aplicables por infracción a las normas internas.
  • Cláusulas de difusión interna y canales de comunicación efectivos para asegurar la comprensión y cumplimiento del programa.
  • Cualquier otra disposición necesaria o útil para el cumplimiento de las normas aplicables a la protección de datos personales.

Delegado de Protección de Datos (DPO) – Funciones Reforzadas

El documento establece de forma detallada el rol del DPO, quien se convierte en el pilar técnico-jurídico del MPI. Entre sus funciones y obligaciones destacan, entre otras:

  • Informar y asesorar al responsable, a terceros encargados/mandatarios y a los dependientes sobre las disposiciones legales aplicables al tratamiento de datos personales.
  • Participar en la revisión y modificación del programa de cumplimiento, proponiendo ajustes cuando detecte riesgos u oportunidades de mejora.
  • Promover la difusión, conocimiento, comprensión y cumplimiento de la política que dicte el responsable en materia de protección de datos.
  • Supervisar el cumplimiento normativo, evaluando periódicamente la eficacia de las medidas adoptadas y verificando la corrección de posibles desviaciones.
  • Comunicar directamente a la autoridad competente cualquier infracción a la norma aplicable al tratamiento de datos de la que tome conocimiento, sin interferencias del responsable.
  • Impulsar la formación y capacitación permanente del personal en materia de protección de datos.
  • Asesorar al responsable en la identificación de los riesgos asociados a las actividades de tratamiento que realice la entidad y en la adopción de medidas preventivas.
  • Garantizar canales de comunicación seguros y confidenciales con titulares, personal interno y terceros, velando por la reserva de identidad de denunciantes.

Certificación y supervisión

La disposición establece el procedimiento para la aprobación, certificación, registro, implementación y supervisión de los programas de cumplimiento.

La certificación será otorgada por la agencia mediante procedimiento iniciado por el interesado, con vigencia de 3 años y causales de caducidad como revocación, disolución de la persona jurídica o cese voluntario de la actividad.

El Reglamento sobre Modelos de Prevención de Infracciones se presenta como un marco operativo que orienta a los responsables de datos en la adopción de buenas prácticas de cumplimiento.

Aunque su implementación no es obligatoria, en la práctica se transforma en un estándar de referencia que fortalece la gobernanza de datos, refuerza la confianza frente a titulares y autoridades y permite anticipar riesgos regulatorios, aportando evidencia concreta de debida diligencia.

Para mas información nos pueden escribir a contacto@compliancelatam.legal

Chile | Se formalizó creación de Agencia Nacional de Ciberseguridad

Chile | Se formalizó creación de Agencia Nacional de Ciberseguridad

El 24 de diciembre de 2024 se publicó en el Diario Oficial el DFL N°1-21.663, de 30 de octubre de 2024, que fija la planta de personal de directivos de la Agencia Nacional de Ciberseguridad (ANCI) y regula otras materias.

Esta normativa se dicta en cumplimiento de lo establecido en la Ley N°21.663 Marco sobre Ciberseguridad.

Por otro lado, además de definir la planta de personal, remuneraciones y requisitos de ingreso, entre otros aspectos. La normativa también establece:

1. La fecha de iniciación de actividades de la agencia es el 1 de enero de 2025.

2. En general, la entrada en rigor de las normas de la Ley Marco de Ciberseguridad es el 1 de enero de 2025, salvo lo dispuesto en los artículos 5°, 8°, 9° y Título VII de la misma ley.

3. Las normas exceptuadas entrarán en vigencia el 1 de marzo de 2025, y dicen relación con:

· Disposiciones sobre calificación de operadores de importancia vital por la agencia.

· Deberes específicos de los operadores de importancia vital.

· Deber de reportar al CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática) los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos.

· Infracciones y sanciones contempladas en la ley. Recordemos que se establecen sanciones de hasta 20 mil UTM en los casos de infracciones gravísimas, las que podrían llegar a hasta las 40 mil UTM cuando se trate de operadores de importancia vital.

La agencia tendrá como objetivo liderar las políticas de ciberseguridad, coordinar respuestas a incidentes, así como proteger datos y comunicaciones en todos los niveles del Estado, incluyendo el sector privado y la ciudadanía para crear un ecosistema digital seguro y resiliente.

Revisa el decreto completo en el siguiente link: DFL N°1-21.663

Para obtener más información sobre el funcionamiento y los plazos de la nueva Agencia Nacional de Ciberseguridad, pueden contactar a: Rodrigo Albagli | Socio | ralbagli@az.cl Eugenio Gormáz | Socio | egormaz@az.cl Ivonne Bueno | Directora az Tech | ibueno@az.cl Yoab Bitran | Director Grupo Compliance | ybitran@az.cl Antonia Nudman | Asociada Senior | anudman@az.cl