Modelo de Prevención de Infracciones (MPI): la atenuante que reduce multas en la Ley 21.719

Una de las novedades más estratégicas de la Ley 21.719 de Protección de Datos Personales es el reconocimiento del Modelo de Prevención de Infracciones (MPI) como atenuante de responsabilidad frente a la Agencia de Protección de Datos Personales (APDP). La figura está inspirada en el Modelo de Prevención del Delito de la Ley 20.393 que las empresas chilenas ya conocen para evitar responsabilidad penal por delitos como cohecho, lavado de activos o financiamiento del terrorismo. Su aplicación a la protección de datos abre un camino concreto para reducir multas, demostrar diligencia y diferenciarse comercialmente. Esta guía explica qué es un MPI, qué debe contener, cómo se certifica y por qué cualquier empresa que tome en serio la Ley 21.719 debería construir uno.

🛡️ Qué es el Modelo de Prevención de Infracciones

El MPI es un sistema interno de cumplimiento orientado a prevenir, detectar y corregir infracciones a la Ley 21.719 dentro de una organización. No es un documento; es una estructura viva de roles, controles, procesos, capacitación, monitoreo y mejora continua. Su existencia, adoptada e implementada con anterioridad al hecho infractor, funciona como atenuante calificada de responsabilidad administrativa.

El concepto recoge la lógica del compliance program anglosajón y la traduce al lenguaje regulatorio chileno: la APDP no exige perfección, exige gobernanza demostrable.

🎯 Por qué importa el MPI: la ecuación económica

La Ley 21.719 establece sanciones de hasta 20.000 UTM (más de MM$1.300 millones). Dentro de cada tramo, la APDP gradúa la multa considerando, entre otros factores, la existencia y operación efectiva de un MPI. Esto significa que entre dos empresas con la misma infracción:

• La que no tenía MPI puede recibir el techo del tramo (por ejemplo, 20.000 UTM en una gravísima).
• La que tenía MPI certificado y operativo puede recibir el piso (10.001 UTM o incluso bajar de tramo en algunos casos), con potenciales reducciones del orden del 30% al 50% de la multa base.

Para una multa potencial de 15.000 UTM, una atenuante del 30% significa MM$300 millones menos que pagar. El costo de implementar un MPI es marginal frente a esa diferencia.

Pero la atenuante no es el único beneficio. Un MPI también:

• Reduce la probabilidad de que la infracción ocurra (controles preventivos).
• Acelera la detección y la respuesta (controles detectivos).
• Limita el impacto cuando ocurre (controles correctivos).
• Genera evidencia documental que sustenta defensas legales.
• Mejora la posición competitiva ante clientes corporativos y licitaciones.

🧩 Componentes obligatorios del MPI

Aunque el detalle final dependerá del reglamento de la APDP, la lógica de la Ley 20.393 y de los compliance programs internacionales permite anticipar los siete componentes mínimos:

1. Identificación de actividades de riesgo

Mapeo formal de los tratamientos de datos personales que realiza la organización, con evaluación del riesgo de infracción asociado a cada uno: comercialización indebida, falta de base de licitud, transferencias internacionales sin garantías, retención excesiva, fallas de seguridad, etc.

2. Designación de un responsable del MPI

Persona o comité con autonomía, recursos suficientes y acceso directo al máximo órgano de gobierno. En la mayoría de los casos será el Delegado de Protección de Datos, aunque puede ser una figura distinta cuando el tamaño de la organización lo justifique. La compatibilidad con el Encargado de Prevención de Delitos de la Ley 20.393 es expresa.

3. Procedimientos y controles preventivos

Para cada actividad de riesgo, controles documentados que reduzcan la probabilidad de infracción:

• Procedimientos de obtención y registro del consentimiento.
• Política de gestión de derechos ARCO.
• Plantillas de contratos de encarguía.
• Procedimiento de transferencias internacionales.
• Procedimiento de inscripción y actualización del Registro de Bancos de Datos.
• Política de retención y eliminación.
• Estándares mínimos de seguridad (alineados con ISO 27001 cuando aplique).

4. Sistema de monitoreo y detección

Mecanismos de control continuo:

• Auditorías internas periódicas.
• Indicadores de cumplimiento (KPI).
• Canal de denuncias confidencial.
• Revisiones de logs y accesos.
• Alertas técnicas ante eventos anómalos.

5. Capacitación y comunicación

Programa formal de capacitación con cobertura medida:

• Inducción obligatoria al ingreso de cada trabajador.
• Refresco anual mínimo.
• Capacitación específica para áreas de mayor exposición (marketing, comercial, RRHH, TI).
• Registros de asistencia y evaluaciones de comprensión.

6. Régimen disciplinario

Consecuencias claras y proporcionales para incumplimientos internos: amonestaciones, suspensión, término de contrato. Aplicación uniforme. La existencia formal del régimen no basta; la APDP evaluará si se ha aplicado efectivamente cuando corresponde.

7. Mejora continua

Revisión anual del modelo, ajustes documentados ante cambios regulatorios, hallazgos de auditoría, brechas materializadas o crecimiento del negocio. Reporte al directorio.

🏅 La certificación del MPI

La Ley 21.719 contempla un mecanismo de certificación voluntaria del MPI por entidades acreditadas ante la APDP. La certificación funciona como presunción de adecuación: la empresa certificada parte con una posición probatoria favorable en cualquier procedimiento sancionatorio.

Quién puede certificar

Las entidades certificadoras deben estar acreditadas por la APDP y cumplir requisitos de independencia, competencia técnica y solvencia. El reglamento detallará el procedimiento exacto. Es probable que coincidan parcialmente con las certificadoras de Ley 20.393 ya operativas en Chile, e incorporen actores especializados en datos personales.

Cómo es el proceso

El esquema típico replica los procesos de certificación ISO:

1. Diagnóstico y análisis de brecha (gap analysis).
2. Implementación de los componentes faltantes.
3. Auditoría interna previa al proceso externo.
4. Auditoría de certificación por la entidad acreditada.
5. Resolución y emisión del certificado, con vigencia típica de 2 a 3 años.
6. Auditorías de seguimiento anuales.
7. Recertificación al final del ciclo.

Cuánto demora

Para una empresa mediana sin antecedentes de cumplimiento previo, el camino completo desde el diagnóstico hasta la certificación tarda entre 9 y 15 meses. Empresas con ISO 27001 ya implementada pueden recortar el plazo a la mitad, porque buena parte de los controles ya está documentada y operando.

🔗 Integración con otros modelos de cumplimiento

El MPI no se construye en silo. Las empresas que ya tienen instalados otros sistemas de gestión deben integrar, no duplicar:

• Ley 20.393 (Modelo de Prevención de Delitos): comparte estructura, encargado, canal de denuncias, capacitación. Puede funcionar como un único programa con dos focos.
• ISO 27001 (SGSI): cubre la dimensión de seguridad técnica y organizativa. El MPI usa los controles del SGSI como evidencia de cumplimiento de los deberes de seguridad de la Ley 21.719.
• ISO 37301 (Compliance Management Systems): provee el marco general que puede albergar el MPI como dominio específico.
• Modelo de Prevención del Acoso (Ley Karin): comparte componentes de canal de denuncias, capacitación y régimen disciplinario.

La gobernanza unificada —idealmente bajo un comité de cumplimiento único— evita la "compliance fatigue", reduce costos y mejora la coherencia ante una fiscalización.

⚠️ Errores que invalidan el MPI

Un MPI no es atenuante por existir; es atenuante por funcionar. La APDP descalificará un MPI cuando:

• Esté adoptado en papel pero sin operación demostrable.
• No haya registros de capacitación ni evidencia de comunicaciones internas.
• El encargado no tenga independencia ni reporte real al directorio.
• Las auditorías internas no se hayan ejecutado o no hayan generado planes de acción.
• El canal de denuncias no tenga uso ni respuesta documentada.
• Existan infracciones sistemáticas ignoradas por la administración.

El MPI debe vivir en los registros: actas de comité, planes anuales, informes de auditoría, expedientes de capacitación, casos cerrados.

💡 Recomendaciones para construir un MPI robusto

1. Empieza por el diagnóstico de riesgos, no por el manual. El manual sin riesgos es decoración.
2. Designa un encargado con respaldo del directorio y dedicación real.
3. Aprovecha lo existente: auditoría interna, canal de denuncias, controles ISO ya operativos.
4. Integra con Ley 20.393 si ya tienes Modelo de Prevención del Delito. Un solo programa, dos focos.
5. Documenta todo: actas, asistencias, resultados, planes de acción.
6. Mide y reporta: KPIs trimestrales al directorio. Sin reporte, no hay gobernanza.
7. Capacita en serio: video corto + evaluación obligatoria, registros que un auditor pueda revisar en cinco minutos.
8. Apunta a certificar dentro de los primeros 18 meses para consolidar la atenuante.
9. Revisa el modelo cada 12 meses y cada vez que un cambio material lo justifique.

📌 Conclusión

El Modelo de Prevención de Infracciones es el instrumento más rentable que ofrece la Ley 21.719 a las empresas chilenas. Convierte el cumplimiento de papel en gobernanza demostrable y, en caso de infracción, baja la multa en porcentajes de dos dígitos. Su construcción es exigente pero abordable, especialmente para empresas que ya tienen Modelo de Prevención de Delitos o ISO 27001 en operación.

Las organizaciones que arranquen su MPI durante 2026 llegarán a la entrada en plena vigencia de la ley con un activo de cumplimiento certificable, defendible y diferenciador. Las que esperen al primer reclamo descubrirán que la atenuante no se construye en plena fiscalización: se construye antes.

---

🚀 ¿Quieres construir o certificar el MPI de tu empresa?

En FideliNorm diseñamos e implementamos Modelos de Prevención de Infracciones bajo la Ley 21.719, integrados con Ley 20.393 e ISO 27001 cuando ya existen. Te llevamos del diagnóstico inicial a la certificación con un plan medible y reportable al directorio. Conversemos.