/ Nuevo reglamento que regula modelos de prevención de infracciones en protección de datos personales
26 de Septiembre, 2025Asociado
Alessandri Abogados
El pasado 28 de agosto ingresó a la Contraloría General de la República, para la toma de razón, el Decreto N° 662/2025 del Ministerio de Hacienda que regula los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los modelos de prevención de infracciones a que se refiere el artículo 49 de la ley 21.719 sobre protección de datos personales, el cual se encuentra en trámite de toma de razón.
Del contenido de dicho reglamento destacamos lo siguiente:
1. Carácter voluntario y deber general de cumplimiento
El primer lugar, el reglamento refuerza que la implementación de un modelo de prevención de infracciones es voluntaria. Sin embargo, aclara que esta voluntariedad, no libera a quienes tratan datos personales a cumplir con el deber general de adoptar medidas de prevención y cumplimiento definidas en la ley 19.628.
2. Contenido mínimo de los programas de cumplimiento
A continuación, el reglamento define el siguiente contenido mínimo que debe contener un programa de cumplimiento:
a. Individualización del responsable de datos y su representante legal.
b. Designación de un delegado de protección de datos, indicándose los medios y facultades de este.
c. Registro de Actividades de Tratamiento (RAT): detalle de categorías de datos, bases de licitud, decisiones automatizadas, transferencias internacionales, plazos de conservación, etc.
d. Matriz de riesgos: identificación de actividades con mayor probabilidad de infracción, considerando la graduación de sanciones.
e. Protocolos y procedimientos internos: reglas claras para prevenir incumplimientos en función del tipo de datos tratados y los riesgos asociados.
f. Mecanismos de reporte y denuncia: canales internos expeditos para trabajadores y terceros; obligación de reportar a la Agencia y a titulares, incluyendo la posibilidad de autodenuncia.
g. Sanciones internas: reglas disciplinarias frente a incumplimientos, aplicables a empleados o funcionarios públicos.
h. Difusión y capacitación: el programa debe ser conocido por todos los miembros de la organización.
3. Alcance de los programas de cumplimiento
El reglamento exige que las obligaciones del programa se incorporen en contratos de trabajo, de prestación de servicios y reglamentos internos de las entidades responsables. Esto implica que empleados y proveedores deberán quedar sujetos contractualmente al cumplimiento de las normas de protección de datos adoptadas por la organización
4. Rol del delegado de protección de datos
La designación de un delegado de protección de datos es obligatoria si una organización adopta y certifica un modelo de prevención de infracciones.
El delegado puede ser interno (empleado o directivo) o externalizado a través de un contrato de servicios con una persona natural o jurídica. Si se contrata a una persona jurídica, debe individualizarse a la persona natural que actuará como delegado.
En el caso de grupos empresariales, se permite designar un único delegado siempre que las entidades compartan políticas y estándares comunes.
5. Sobre la certificación, registro y supervisión
La futura Agencia de Protección de Datos será la encargada de certificar, registrar y supervisar los modelos de prevención de infracciones.
La certificación es voluntaria y tendrá una vigencia de 3 años, renovable previa revisión y los modelos certificados serán inscritos en el registro nacional de sanciones y cumplimiento, el cual será de acceso público y constituyen una atenuante en caso de infracción
Cabe hacer presente que la Agencia tiene la facultad de requerir información, fiscalizar la implementación y, eventualmente, revocar certificaciones en caso de incumplimiento.
Otros reglamentos mandatos por la Ley 21.719
Además del reglamento de modelos de prevención de infracciones, la Ley contempla la dictación de otros reglamentos clave, cuya dictación está pendiente:
- Reglamento que definirá los procedimientos de anonimización de datos en la cesión o comunicación de datos entre organismos públicos y con personas u organismos privados.
- Reglamento que fijará el domicilio de la futura Agencia de Protección de Datos
- Reglamento que defina las normas de funcionamiento del Consejo Directivo de la Agencia de Protección de Datos