Volver al blog
Ley 21.719MPImodelo prevención infraccionesdatos personalesChilecumplimientocertificación

Modelo de Prevención de Infracciones (MPI): la atenuante que reduce multas

Qué es un Modelo de Prevención de Infracciones bajo la Ley 21.719, cómo construirlo, cómo certificarlo y por qué funciona como atenuante de responsabilidad ante la APDP en Chile.

Equipo FideliNorm
Modelo de Prevención de Infracciones (MPI): la atenuante que reduce multas

Si la APDP llega a tu puerta con una infracción gravísima, hay una sola cosa que puede bajar la multa de $1.300 millones a la mitad: tener un Modelo de Prevención de Infracciones funcionando.

La figura está inspirada en el Modelo de Prevención del Delito de la Ley 20.393, ese mismo que llevas armando desde hace años para evitar responsabilidad penal por cohecho o lavado de activos. Ahora se aplica también a datos personales.

Acá te explicamos qué tiene que tener un MPI en serio, cómo se certifica y por qué cualquier empresa que se tome la Ley 21.719 con seriedad debería empezar ya.

Qué es exactamente un MPI

El MPI es un sistema interno de cumplimiento que previene, detecta y corrige infracciones a la Ley 21.719. No es un manual ni una carpeta en SharePoint: es una estructura viva con roles, controles, capacitación, monitoreo y mejora continua.

Lo importante es que tiene que estar adoptado e implementado antes del hecho infractor. Si lo armas el día después de la fiscalización, no sirve como atenuante.

La APDP no exige perfección. Exige gobernanza demostrable, con evidencia que un fiscalizador pueda revisar en una visita.

La ecuación económica que justifica el proyecto

La Ley 21.719 contempla multas de hasta 20.000 UTM, más de $1.300 millones al valor actual. Dentro de cada tramo, la APDP gradúa la sanción considerando si la empresa tenía o no un MPI operativo.

Entre dos empresas con la misma infracción, la diferencia es brutal. La que no tenía MPI puede recibir el techo del tramo. La que tenía un MPI certificado puede pagar el piso, con reducciones del orden de 30% a 50% sobre la multa base.

Para una sanción potencial de 15.000 UTM, una atenuante del 30% son $300 millones menos. El costo de implementar un MPI es marginal frente a esa diferencia.

Lo que tiene que tener tu MPI

Aunque el reglamento de la APDP terminará de definir el detalle, la lógica de la Ley 20.393 y los compliance programs internacionales nos dan siete componentes mínimos.

1. Mapa de actividades de riesgo

Un inventario formal de los tratamientos de datos personales que hace tu organización, con evaluación del riesgo de infracción asociado a cada uno: comercialización indebida, falta de base de licitud, transferencias internacionales sin garantías, retención excesiva, fallas de seguridad.

2. Un encargado con dientes

Persona o comité con autonomía, recursos y acceso directo al directorio. En la mayoría de los casos será el Delegado de Protección de Datos, aunque puede ser otra figura cuando el tamaño de la organización lo justifique.

La compatibilidad con el Encargado de Prevención de Delitos de la Ley 20.393 está expresamente permitida. Si ya tienes uno, lo más eficiente es ampliar su rol.

3. Controles preventivos documentados

Para cada actividad de riesgo, controles que reduzcan la probabilidad de infracción. Los básicos son:

  • Procedimientos de obtención y registro del consentimiento.
  • Política de gestión de derechos ARCO.
  • Plantillas de contratos de encarguía.
  • Procedimiento de transferencias internacionales.
  • Procedimiento de inscripción del Registro de Bancos de Datos.
  • Política de retención y eliminación.
  • Estándares mínimos de seguridad alineados con ISO 27001.

4. Sistema de monitoreo y detección

Auditorías internas periódicas, indicadores de cumplimiento, canal de denuncias confidencial, revisión de logs y accesos, alertas técnicas ante eventos anómalos. Sin esto, la APDP asumirá que el MPI vive solo en el papel.

5. Capacitación que se pueda probar

Un programa formal con cobertura medida. Inducción obligatoria al ingresar, refresco anual mínimo, capacitación específica para áreas más expuestas (marketing, comercial, RRHH, TI). Registros de asistencia y evaluaciones de comprensión.

6. Régimen disciplinario aplicado

Consecuencias claras y proporcionales: amonestaciones, suspensión, término de contrato. Lo importante es que se haya aplicado al menos una vez cuando correspondió.

Un régimen formal que nunca se usa es señal de que la administración tolera incumplimientos. La APDP lo va a notar.

7. Mejora continua con bitácora

Revisión anual del modelo, ajustes documentados ante cambios regulatorios, hallazgos de auditoría, brechas materializadas o crecimiento del negocio. Reporte al directorio con acta firmada.

La certificación y por qué conviene

La Ley 21.719 contempla un mecanismo de certificación voluntaria del MPI por entidades acreditadas ante la APDP. La certificación funciona como presunción de adecuación: la empresa certificada parte con una posición probatoria favorable en cualquier procedimiento sancionatorio.

Quién certifica

Las certificadoras deben estar acreditadas por la APDP y cumplir requisitos de independencia, competencia técnica y solvencia. Es probable que coincidan parcialmente con las certificadoras de Ley 20.393 ya operativas en Chile, e incorporen actores especializados en datos personales.

Cómo es el proceso

El esquema típico replica los procesos de certificación ISO:

  1. Diagnóstico y análisis de brecha (gap analysis).
  2. Implementación de los componentes faltantes.
  3. Auditoría interna previa.
  4. Auditoría de certificación por la entidad acreditada.
  5. Resolución y emisión del certificado, con vigencia típica de 2 a 3 años.
  6. Auditorías de seguimiento anuales.
  7. Recertificación al final del ciclo.

Cuánto demora en serio

Para una empresa mediana sin antecedentes de cumplimiento previo, el camino completo desde el diagnóstico hasta la certificación tarda entre 9 y 15 meses. Empresas con ISO 27001 ya implementada pueden recortar el plazo a la mitad porque buena parte de los controles ya está documentada.

Cómo se integra con lo que ya tienes

El MPI no se construye en silo. Si tu empresa ya tiene otros sistemas de cumplimiento, lo correcto es integrar, no duplicar.

La Ley 20.393 comparte estructura, encargado, canal de denuncias y capacitación. Puede funcionar como un único programa con dos focos. ISO 27001 cubre la dimensión de seguridad técnica y organizativa, y sus controles sirven como evidencia de cumplimiento de los deberes de seguridad de la Ley 21.719.

ISO 37301 (Compliance Management Systems) provee el marco general que puede albergar el MPI como dominio específico. El Modelo de Prevención del Acoso (Ley Karin) comparte canal de denuncias, capacitación y régimen disciplinario.

La gobernanza unificada bajo un comité único evita la fatiga de compliance, reduce costos y mejora la coherencia ante una fiscalización.

Lo que invalida un MPI ante la APDP

Un MPI no es atenuante por existir. Es atenuante por funcionar. La APDP descalificará tu modelo cuando:

  • Esté adoptado en papel pero sin operación demostrable.
  • No haya registros de capacitación ni evidencia de comunicaciones internas.
  • El encargado no tenga independencia ni reporte real al directorio.
  • Las auditorías internas no se hayan ejecutado o no hayan generado planes de acción.
  • El canal de denuncias no tenga uso ni respuesta documentada.
  • Existan infracciones sistemáticas que la administración ignoró.

El MPI tiene que vivir en los registros: actas de comité, planes anuales, informes de auditoría, expedientes de capacitación, casos cerrados. Si un auditor no puede reconstruir un año de operación en un día, el MPI no califica.

Cómo construir uno que aguante una fiscalización

  1. Empieza por el diagnóstico de riesgos, no por el manual. El manual sin riesgos es decoración.
  2. Designa un encargado con respaldo del directorio y dedicación real.
  3. Aprovecha lo existente: auditoría interna, canal de denuncias, controles ISO ya operativos.
  4. Integra con Ley 20.393 si ya tienes Modelo de Prevención del Delito. Un solo programa, dos focos.
  5. Documenta todo: actas, asistencias, resultados, planes de acción.
  6. Mide y reporta KPIs trimestrales al directorio. Sin reporte, no hay gobernanza.
  7. Capacita en serio: video corto y evaluación obligatoria, con registros que un auditor revise en cinco minutos.
  8. Apunta a certificar dentro de los primeros 18 meses para consolidar la atenuante.
  9. Revisa el modelo cada 12 meses y cada vez que un cambio material lo justifique.

El MPI es el instrumento más rentable que ofrece la Ley 21.719 a las empresas chilenas. Convierte el cumplimiento de papel en gobernanza demostrable y, en caso de infracción, baja la multa en porcentajes de dos dígitos.

¿Quieres construir o certificar el MPI de tu empresa? Conversemos y te llevamos del diagnóstico inicial a la certificación con un plan medible.

Artículos relacionados

Newsletter FideliNorm

Cumplimiento normativo en tu correo, una vez al mes.

Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.

Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.

¿Necesitas certificar ISO 50001 en tu empresa?

En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.

Solicitar una consulta →