Nuevo Ley N° 21.719 · Protección de datos personales

Modelo de Prevención de Infracciones en datos personales.

La nueva Ley de Protección de Datos Personales reconoce el MPI como atenuante expresa ante la Agencia y como prueba de cumplimiento certificable por 3 años. Sin él, la exposición llega hasta 20.000 UTM o 4% de ingresos por reincidencia.

Diagnosticar mi MPI Designar un DPO
Sin compromiso · Diagnóstico inicial sin costo
Mapa de tratamientos de datos
RAT · 2026 Q2
41 tratamientos · 6 de alto riesgo
Impacto
RaroBajoMedioAltoCrítico
Bajo Medio Alto Crítico
Bases de licitud
Al día
Tratamientos cubiertos
96.5%
+4.1 pts vs trim. anterior
Plan DPO · Q2
2 vencen pronto
Actualizar política de privacidad
10-04
Registro de Actividades de Tratamiento
25-04
EIPD · nuevo módulo de clientes
02-05
Flujo de derechos ARCO+P
18-05
RAT firmado por el DPO
Evidencia 18-04 · 1.8 MB · vigente
+45
Empresas asesoradas en cumplimiento normativo
100%
Trazabilidad documental con bitácora legal
−65%
Tiempo de respuesta ante fiscalización
Confían en DCS Compliance · Equipos legales y de riesgo en Chile
Anderis
Novatek Servicios
Kairon Ingeniería
Velkor Gestión Comercial
Orvian Soluciones
Teknor Chile
Lumark Servicios Integrales
Bravik Industrial
Nexor Administraciones
Base normativa

La Ley 21.719 cambia cómo se trata el dato personal en Chile.

Por primera vez existe una agencia con potestad sancionatoria, multas serias y la posibilidad de certificar tu programa. Quien adopte un MPI vigente reduce drásticamente su exposición ante la Agencia y ante los titulares.

Marco legal

Ley N° 21.719 · Protección de Datos Personales

  • Artículo 49 — los responsables de datos pueden voluntariamente adoptar un Modelo de Prevención de Infracciones consistente en un programa de cumplimiento.
  • Artículo 52 — la Agencia de Protección de Datos Personales certifica, registra y supervisa los modelos. La certificación tiene vigencia de 3 años.
  • El certificado vigente es circunstancia atenuante expresa ante la Agencia.
  • Multas hasta 20.000 UTM por infracciones gravísimas; reincidencia puede alcanzar el 4% de los ingresos anuales.

Política publicada ≠ cumplimiento

Tener "política de privacidad" subida al sitio no acredita nada. La Agencia exige Delegado, registro de actividades de tratamiento, bases de licitud, protocolos y evaluación de impacto — todo operando.

No hay Delegado autónomo nombrado

La ley exige Delegado de Protección de Datos con autonomía respecto de la administración. Designar al gerente legal o al encargado de TI no satisface el estándar de independencia.

Tratamientos sin base de licitud documentada

Casi todas las empresas tratan datos sensibles, perfilan clientes o monitorean conducta sin base de licitud explícita. Ese vacío es infracción gravísima bajo el nuevo régimen.

Sin protocolo de brechas listo

Las brechas de seguridad obligan a reportar a la Agencia y comunicar a los titulares afectados en plazos breves. Sin protocolo definido, esa exigencia se resuelve mal y agrava la sanción.

El MPI es un programa de cumplimiento voluntario pero estratégico: ante la Agencia, certificarlo opera como atenuante expresa.
Contenido mínimo del programa

Qué exige la ley para que el MPI opere como atenuante.

El art. 49 fija el contenido mínimo. Cada elemento debe estar diseñado, formalizado y operando — no basta documentar.

Designación del Delegado de Protección de Datos con autonomía respecto de la administración.
Definición de medios y facultades del Delegado dentro de la organización.
Identificación del tipo de información tratada, ámbito territorial, categorías de bases de datos y titulares.
Identificación de actividades y procesos con riesgo de infracción (leve, grave y gravísima).
Protocolos y procedimientos específicos para prevenir cada tipo de infracción.
Mecanismos de reporte interno y reporte a la Agencia ante brechas de seguridad.
Régimen de sanciones internas incorporado al reglamento interno y/o contratos.
Canal de denuncias para infracciones al programa.
Lo que entregamos

Programa MPI completo, listo para certificar.

No solo diseñamos los documentos: dejamos los procesos operando, las herramientas instaladas y el equipo entrenado para sostenerlo.

Registro de Actividades de Tratamiento (RAT): catálogo de bases de datos, finalidades, bases de licitud, períodos de retención y destinatarios.
Política de privacidad y aviso de tratamiento conforme al deber de información del art. 14 ter.
Diseño de bases de licitud y mecanismos de consentimiento válido, por flujo y por tipo de dato.
Protocolo de derechos ARCO: acceso, rectificación, supresión, oposición, portabilidad y bloqueo.
Contratos de encargo de tratamiento (DPA) con terceros mandatarios o encargados (art. 15 bis).
Evaluación de Impacto en Protección de Datos (EIPD): obligatoria en perfilamiento con efectos jurídicos, tratamiento masivo, monitoreo de espacios públicos y datos sensibles sin consentimiento.
Protocolo de brechas de seguridad: reporte a la Agencia y comunicación a titulares afectados.
Política de protección desde el diseño y por defecto (privacy by design & by default).
Política de transferencia internacional de datos con garantías adecuadas.
Incorporación del programa al reglamento interno y/o contratos laborales.
Acompañamiento en el proceso de certificación ante la Agencia de Protección de Datos Personales.
El Delegado de Protección de Datos

El DPO es el rol pivote del programa.

Independencia funcional respecto de la administración, presupuesto propio y acceso directo al directorio. Sus funciones son legales, no decorativas.

Asesorar al responsable, encargados y dependientes sobre la normativa de datos personales.
Supervisar el cumplimiento de la ley y la política interna del responsable.
Capacitar permanentemente al personal con acceso a datos.
Identificar riesgos en las actividades de tratamiento y proponer medidas de mitigación.
Desarrollar plan anual de trabajo y rendir cuenta de resultados al responsable.
Actuar como punto de contacto de la Agencia de Protección de Datos Personales.
Atender consultas y solicitudes de los titulares de datos personales.
Cómo trabajamos

Del diagnóstico al monitoreo continuo en 3 pasos.

Proceso definido por nuestro equipo legal y operacional. Cronogramas cerrados, entregables claros y honorarios fijos por proyecto. Sin sorpresas, sin facturación por hora.

01

Diagnóstico legal

Levantamos el mapa de tratamientos de datos en tu organización, identificamos riesgos de infracción aplicables (leves, graves y gravísimas) y evaluamos el estado actual del programa de protección de datos. Si partes desde cero, definimos el alcance del MPI.

Semana 1 — 2
02

Diseño, auditoría e implementación

Construimos o corregimos el MPI: política de privacidad, Registro de Actividades de Tratamiento (RAT), bases de licitud, evaluaciones de impacto (EIPD), protocolos de derechos ARCO y de brechas. Acompañamos al Delegado de Protección de Datos (DPO) en la adopción.

Mes 1 — 3
03

Operación continua y reporte

Acompañamos al DPO (interno o externo) en la operación: respondemos solicitudes de titulares, gestionamos brechas de seguridad, capacitamos al personal y reportamos al directorio. Cuando corresponda, el modelo se presenta a certificación ante la Agencia de Protección de Datos Personales.

Continuo
Diagnóstico sin costo

Implementa tu MPI bajo la Ley 21.719. Hoy.

Agenda 45 minutos con un socio. Mapeamos tus tratamientos actuales, identificamos infracciones potenciales bajo la nueva ley y proponemos el camino a la certificación de la Agencia — sin compromiso.

  • Diagnóstico inicial confidencial y sin costo
  • Honorarios fijos por proyecto · sin facturación por hora
  • Implementación en semanas — no en meses
  • Asesoría continua al Encargado de Prevención
Solicitud · Folio nuevo
Empresa
Email
Teléfono
Estado del programa de datos
Encargado de Prevención
Servicio de interés
Solicitar diagnóstico