Modelo de Prevención de Infracciones (MPI): Reduce tus multas
La Ley 21.719 permite certificar un Modelo de Prevención de Infracciones que reduce sanciones. Conoce qué es, cómo implementarlo y por qué es una inversión estratégica para tu empresa.
Equipo StrixSoft
Especialistas en Software, IA y Ciberseguridad
Uno de los mecanismos más innovadores de la Ley 21.719 es el Modelo de Prevención de Infracciones (MPI), un programa de cumplimiento voluntario que, una vez certificado por la Agencia de Protección de Datos Personales, actúa como atenuante directo de sanciones. En otras palabras: si tu empresa tiene un MPI certificado y comete una infracción, la multa será significativamente menor. Ninguna otra legislación en Latinoamérica ofrece un incentivo tan claro para la adopción proactiva de compliance.
¿Qué es el MPI?
El Modelo de Prevención de Infracciones es un programa integral de cumplimiento normativo diseñado para prevenir violaciones a la ley de protección de datos. No es un documento estático: es un sistema vivo que incluye políticas, procedimientos, controles técnicos, capacitación y mecanismos de supervisión continua.
La ley lo define en sus artículos sobre responsabilidad proactiva y establece que la Agencia dictará las normas específicas para su certificación. Sin embargo, los elementos esenciales ya están delineados en el texto legal.
Elementos obligatorios del MPI
1. Designación de un Delegado de Protección de Datos (DPO)
El MPI requiere obligatoriamente la designación de un Delegado de Protección de Datos. Esta es la única circunstancia en la ley donde el DPO es mandatorio — fuera del MPI, es voluntario. El delegado debe tener autonomía funcional, acceso directo a la alta dirección y conocimientos especializados en protección de datos.
Para pymes: El dueño o la máxima autoridad puede asumir las funciones de DPO personalmente, reduciendo el costo de implementación.
2. Programa de capacitación continua
Debe incluir formación periódica para todos los empleados que participen en el tratamiento de datos personales. La capacitación debe cubrir los principios de la ley, los derechos de los titulares, los procedimientos internos de la empresa y las consecuencias del incumplimiento.
3. Mecanismos de supervisión y auditoría interna
El MPI debe contemplar auditorías periódicas que verifiquen el cumplimiento efectivo de las políticas y procedimientos. Los resultados de las auditorías deben documentarse y las no conformidades deben generar planes de acción correctiva con plazos definidos.
4. Sistema de gestión de riesgos
Incluye la identificación, evaluación y mitigación de riesgos asociados al tratamiento de datos personales. Debe considerar evaluaciones de impacto en la protección de datos (EIPD) para actividades de alto riesgo, como el tratamiento masivo de datos sensibles o la elaboración de perfiles.
5. Políticas y procedimientos documentados
El programa debe contar con políticas escritas que cubran, como mínimo: bases de licitud del tratamiento, procedimientos para atender derechos ARCO+, protocolos de notificación de brechas, normas de transferencia internacional de datos, política de retención y eliminación de datos, y procedimientos de respuesta a incidentes.
6. Canal de denuncias o reportes internos
Un mecanismo confidencial para que empleados y terceros puedan reportar posibles incumplimientos sin temor a represalias. Este canal debe ser accesible, confidencial y generar investigaciones efectivas.
Proceso de certificación
Paso 1: Diseño e implementación
La empresa diseña e implementa su MPI cumpliendo con todos los elementos requeridos. Este proceso puede tomar entre 3 y 6 meses dependiendo del tamaño y complejidad de la organización.
Paso 2: Operación demostrable
El MPI debe estar en operación efectiva durante un período suficiente para demostrar que no es solo un documento, sino un sistema vivo y funcional. Se recomienda al menos 6 meses de operación documentada.
Paso 3: Solicitud ante la Agencia
Se presenta la solicitud de certificación ante la Agencia de Protección de Datos Personales, acompañada de toda la documentación de respaldo: políticas, registros de capacitación, informes de auditoría, evidencia de gestión de incidentes y métricas de cumplimiento.
Paso 4: Evaluación y certificación
La Agencia evalúa el MPI y, si cumple con los requisitos, emite la certificación. Esta certificación tiene un plazo de vigencia y debe renovarse periódicamente.
Beneficios concretos del MPI certificado
Reducción directa de multas
Este es el beneficio más tangible. La ley establece que contar con un MPI certificado es una circunstancia atenuante en el proceso sancionatorio. En la práctica, esto puede significar una reducción sustancial de la multa aplicable.
Registro Nacional de Cumplimiento
Las empresas con MPI certificado son inscritas en el Registro Nacional de Sanciones y Cumplimiento en una sección positiva, lo que funciona como un sello público de buenas prácticas. Esto genera confianza ante clientes, socios comerciales e inversionistas.
Defensa ante la Agencia
En caso de investigación o denuncia, demostrar que la empresa cuenta con un MPI certificado y en funcionamiento evidencia buena fe y diligencia debida, lo cual influye favorablemente en la resolución del caso.
Ventaja competitiva
En mercados donde la protección de datos es un factor de decisión (servicios financieros, salud, tecnología, comercio electrónico), contar con un MPI certificado diferencia a tu empresa frente a competidores que no lo tienen.
MPI vs ISO 27701: ¿son lo mismo?
No. ISO 27701 es un estándar internacional de gestión de privacidad que extiende ISO 27001/27002. El MPI es un mecanismo específico de la legislación chilena. Sin embargo, son complementarios: una empresa con ISO 27701 tiene gran parte del camino recorrido para obtener la certificación MPI, ya que muchos controles y procesos son equivalentes.
| Aspecto | MPI (Ley 21.719) | ISO 27701 |
|---|---|---|
| Obligatoriedad | Voluntario (incentivado) | Voluntario |
| Alcance | Ley chilena de datos personales | Estándar internacional de privacidad |
| Certificador | Agencia de Protección de Datos Chile | Organismos de certificación acreditados |
| Beneficio legal | Reducción directa de multas | Sin efecto legal directo en Chile |
| Reconocimiento | Nacional (Chile) | Internacional |
¿Cuándo conviene implementar un MPI?
- Empresas que tratan grandes volúmenes de datos personales (retail, banca, telecomunicaciones, salud)
- Empresas que manejan datos sensibles (datos de salud, biométricos, financieros detallados)
- Organizaciones que operan en sectores regulados donde el cumplimiento es un requisito de mercado
- Empresas con operaciones internacionales que necesitan demostrar estándares de protección equivalentes
- Cualquier empresa que quiera minimizar su exposición a las multas de hasta 20.000 UTM o 4% de ingresos anuales
Hoja de ruta recomendada
| Plazo | Acción |
|---|---|
| Meses 1-2 | Diagnóstico de brechas y evaluación de riesgos |
| Meses 2-4 | Diseño de políticas, procedimientos y controles |
| Meses 4-5 | Implementación técnica y capacitación |
| Meses 5-8 | Operación documentada y auditorías internas |
| Mes 9+ | Solicitud de certificación ante la Agencia |
En StrixSoft combinamos expertise en ciberseguridad y compliance para ayudarte a diseñar, implementar y preparar tu MPI para certificación. Nuestro enfoque integral abarca desde la evaluación de brechas hasta los controles técnicos de seguridad que respaldan tu programa. Consulta sin costo cómo comenzar.