🇨🇱 Chile · Hub Normativo Checklist y guías para cumplir la Ley 21.663 y 21.719
Departamento TI
Compliance

Modelo de Prevención de Infracciones (MPI): guía para cumplir con la Ley 21.719

juan@preyhq.com
Juan O.
Apr 17, 2026
0 minutos de lectura
Modelo de Prevención de Infracciones (MPI): guía para cumplir con la Ley 21.719
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Sobre el autor
juan@preyhq.com
Juan O.

Juan lidera la estrategia de contenido en Prey, trabajando junto a equipos de TI y seguridad en distintos sectores. Su enfoque está en explicar problemas reales como la seguridad de dispositivos y el cumplimiento de forma clara, práctica y aplicable.

TL;DR

Lo esencial sobre el Modelo de Prevención de Infracciones

  • Qué es: Un programa de cumplimiento certificable ante la Agencia de Protección de Datos, regulado en los Arts. 49-53 de la Ley 21.719 y el DS 662/2025.
  • Voluntario, pero estratégico: No es obligatorio, pero su certificación opera como atenuante formal ante sanciones que pueden alcanzar las 20.000 UTM o el 2-4% de los ingresos anuales.
  • La zanahoria frente al garrote: El MPI condiciona sanciones menos drásticas y facilita otras atenuantes como la autodenuncia y la colaboración con la Agencia.
  • 9 elementos mínimos: DPD, RAT, matriz de riesgo, protocolos, canales de reporte, régimen sancionatorio interno, obligaciones contractuales y capacitación.
  • Vigencia: La Ley 21.719 entra en vigor en diciembre de 2026. Implementar un MPI certificable toma entre 6 y 12 meses.

La Ley 21.719 trae un régimen de sanciones que puede doler: multas de hasta 20.000 UTM para infracciones gravísimas, con incrementos por reincidencia que pueden llegar al 2-4% de los ingresos anuales. Esa es la vara. Pero la misma ley ofrece una salida inteligente para quienes se preparan antes del golpe.

El Modelo de Prevención de Infracciones (MPI) es, en esencia, la zanahoria frente al garrote. Un mecanismo formal que le permite a tu organización demostrar que actuó con diligencia, que implementó controles reales y que tiene una cultura de protección de datos que funciona, no solo en el papel.

Si lo certificas ante la Agencia de Protección de Datos Personales, el MPI opera como atenuante cuando las cosas salen mal. No elimina la responsabilidad, pero sí condiciona una sanción menos drástica. Y en un régimen donde las multas se calculan según la gravedad, esa diferencia puede ser significativa.

Esta guía explica qué es el MPI, qué exige, cómo implementarlo y por qué debería estar en tu radar ahora, antes de que la ley entre en vigencia en diciembre de 2026.

Qué es el Modelo de Prevención de Infracciones

El MPI está regulado en los artículos 49 a 53 que la Ley 21.719 incorpora a la Ley 19.628 sobre Protección de la Vida Privada. Su reglamento fue aprobado mediante el Decreto Supremo N° 662/2025 del Ministerio de Hacienda.

En términos concretos, es un programa de cumplimiento que combina medidas organizativas, procedimientos internos y controles técnicos para prevenir infracciones a la normativa de datos personales. Piensa en él como un sistema de gestión que documenta cómo tu organización trata datos, identifica dónde están los riesgos y establece qué hacer para mitigarlos.

Si te suena familiar, es porque sigue una lógica similar al Modelo de Prevención de Delitos de la Ley 20.393. Esa ley introdujo en Chile la idea de que las organizaciones pueden atenuar su responsabilidad penal si demuestran que tenían controles efectivos antes de que ocurriera el problema. El MPI aplica esa misma lógica preventiva al tratamiento de datos personales.

La diferencia clave con un "programa de cumplimiento" genérico: el MPI es un instrumento específico, con elementos definidos por ley y reglamento, que puede ser certificado formalmente ante la Agencia de Protección de Datos Personales. No es un checklist interno. Es un mecanismo legal con consecuencias prácticas.

Voluntario, pero con beneficios que pesan

El MPI no es obligatorio. Cualquier responsable de datos, persona natural o jurídica, pública o privada, puede optar por implementarlo. Pero que sea voluntario no significa que sea prescindible.

La lógica del garrote

El régimen sancionatorio de la Ley 21.719 clasifica las infracciones en tres niveles:

  • Leves: multas de hasta 5.000 UTM
  • Graves: multas de hasta 10.000 UTM
  • Gravísimas: multas de hasta 20.000 UTM (aproximadamente USD 1,5 millones)

Para organizaciones que no califican como PYMEs y reinciden en infracciones graves o gravísimas, las multas pueden escalar al 2-4% de los ingresos anuales. Además, la demora en remediar una infracción puede incrementar la sanción en un 50%.

La zanahoria

Frente a ese escenario, la ley establece circunstancias atenuantes. Tener un MPI certificado acredita que la organización cumplió diligentemente con sus deberes de dirección y supervisión en materia de protección de datos. Eso no te libra de responsabilidad, pero sí puede significar la diferencia entre una multa gravísima a escala completa y una sanción considerablemente menor.

Y no es el único atenuante que la ley reconoce. Hay otros que vale la pena tener en el radar:

  • La autodenuncia ante la Agencia antes de que inicie una investigación
  • La colaboración sustancial con la Agencia durante un procedimiento sancionatorio
  • La adopción de medidas correctivas inmediatas tras detectar una infracción

Un MPI bien implementado facilita todos estos escenarios: si tienes canales de reporte funcionando, una matriz de riesgos actualizada y un DPO con línea directa a la dirección, estás en posición de detectar problemas temprano, autodenunciar cuando corresponda y colaborar con evidencia concreta. El modelo no solo atenúa por sí mismo; te deja en mejor posición para activar las demás atenuantes.

Los 9 elementos obligatorios del MPI

El DS 662/2025 detalla los componentes mínimos que debe incluir un MPI para ser certificable. No son sugerencias: son requisitos.

Identificación del responsable de datos

Datos del responsable y su representante legal. Parece básico, pero formaliza quién responde ante la Agencia.

Delegado de Protección de Datos (DPD)

La pieza central del modelo. Debe tener conocimientos específicos, autonomía operativa y acceso directo a la máxima autoridad de la organización. Puede ser un empleado interno o un proveedor externo (el modelo DPO as a Service es válido). Los grupos empresariales pueden designar un solo DPD con estándares comunes.

Excepción para PYMEs: pueden designar a sus propietarios o ejecutivos como DPD, sin necesidad de un profesional independiente.

Si quieres profundizar en el rol, requisitos y funciones del DPD, tenemos una guía completa sobre el DPO bajo la Ley 21.719.

Registro de Actividades de Tratamiento (RAT)

Un inventario documentado de todo lo que tu organización hace con datos personales:

  • Tipos de datos tratados y categorías de bases de datos
  • Finalidades y bases de licitud
  • Fuentes de obtención y destinatarios
  • Transferencias internacionales
  • Plazos de conservación y eliminación
  • Decisiones automatizadas y perfilamiento
  • Ámbito territorial del tratamiento

El RAT es la columna vertebral del MPI. Sin él, no puedes construir una matriz de riesgo creíble ni demostrar que entiendes tu propio ecosistema de datos.

Lectura relacionada
Cómo crear un RAT desde cero
Guía práctica para crear tu registro de actividades paso a paso

Matriz de riesgo

Identifica las actividades de tratamiento con mayor probabilidad de generar infracciones, clasificadas según la gravedad de las sanciones asociadas (leves, graves, gravísimas). Este mapeo es lo que transforma el MPI de un documento estático a una herramienta de gestión real.

Si no tienes experiencia construyendo matrices de riesgo, nuestra guía de matriz de riesgos para líderes de TI cubre la metodología desde lo básico.

Protocolos y procedimientos internos

Reglas concretas que orientan la conducta del personal según el tipo de dato y el nivel de riesgo. No basta con tener una política de privacidad en el sitio web: necesitas procedimientos operativos que la gente pueda seguir en su día a día.

Canales de reporte

Mecanismos internos expeditos y accesibles para reportar incidentes o posibles infracciones. Deben incluir protección de la identidad del denunciante (whistleblower). También se requieren protocolos de reporte externo hacia la Agencia y los titulares de datos.

Estos canales son los que habilitan la autodenuncia temprana, una de las atenuantes más valiosas del régimen.

Régimen sancionatorio interno

Procedimientos disciplinarios claros para quienes incumplan las políticas de protección de datos dentro de la organización. El mensaje debe ser coherente: si la organización se toma en serio la protección de datos, las consecuencias internas también deben serlo.

Obligaciones contractuales

Cláusulas de cumplimiento incorporadas en contratos laborales, de prestación de servicios y reglamentos internos. Esto extiende la responsabilidad más allá del equipo de IT o compliance: proveedores, contratistas y empleados quedan formalmente vinculados.

Capacitación y difusión

Programa de formación continua a todos los niveles de la organización. No se trata de un webinar anual: la ley espera un esfuerzo sostenido de cultura organizacional en torno a la protección de datos.

Cómo certificar el MPI ante la Agencia

La certificación es voluntaria y se inicia a solicitud del responsable de datos. El proceso funciona así:

  1. La organización implementa el MPI con todos los elementos exigidos
  2. Solicita la certificación ante la Agencia de Protección de Datos Personales
  3. La Agencia evalúa que el modelo cumple con los requisitos legales y reglamentarios
  4. Si aprueba, inscribe el MPI en el Registro Nacional de Sanciones y Cumplimiento (de acceso público)
  5. La certificación tiene una vigencia de 3 años, renovable tras revisión

La Agencia puede revocar la certificación por incumplimiento, cesación voluntaria del modelo o disolución de la entidad. También puede solicitar información y monitorear el cumplimiento continuo en cualquier momento.

La inscripción en el Registro Nacional no es solo un trámite: es una señal pública de que tu organización opera con estándares verificados. Para clientes, socios y reguladores, eso tiene valor.

Fechas clave que debes conocer

  • Diciembre 2024: Publicación de la Ley 21.719 en el Diario Oficial
  • Junio 2025: Dictación del DS 662/2025 (Reglamento del MPI)
  • Agosto 2025: DS 662 ingresado a Contraloría para toma de razón
  • Diciembre 2026: Entrada en vigencia de la Ley 21.719
  • Dic 2026 - Dic 2027: Período de gracia para PYMEs: solo amonestaciones, sin multas
  • Diciembre 2027: Régimen sancionatorio completo en vigencia

El período de vacancia de 24 meses (dic 2024 a dic 2026) existe para que organizaciones públicas y privadas se adecúen. Pero implementar un MPI certificable toma tiempo. Si empiezas en octubre de 2026, vas tarde.

MPI chileno vs. accountability del GDPR

Si tu organización ya opera bajo estándares GDPR, el MPI te resultará familiar en su filosofía: ambos marcos exigen responsabilidad proactiva. No basta con cumplir la ley; hay que poder demostrarlo.

Las similitudes son claras: documentación de actividades de tratamiento, evaluaciones de impacto, medidas técnicas y organizativas, designación de DPO, privacy by design y by default.

Pero hay diferencias relevantes:

  • El MPI es un mecanismo certificable ante la autoridad local, con un proceso formal de revisión y registro. El GDPR no tiene un equivalente directo para modelos de prevención (sus certificaciones bajo el Art. 42 tienen un enfoque diferente).
  • La certificación del MPI opera como atenuante explícita ante sanciones. En el GDPR, la demostración de accountability también puede influir en la determinación de multas, pero el mecanismo es menos formalizado.
  • El MPI tiene inspiración más cercana al compliance penal chileno (Ley 20.393) que al modelo europeo. Eso significa que su lógica es familiar para organizaciones chilenas que ya cuentan con modelos de prevención de delitos.

Para equipos que manejan operaciones en ambos marcos, la buena noticia es que mucho del trabajo de GDPR es reutilizable para el MPI. El RAT, las evaluaciones de impacto y las políticas internas pueden adaptarse al contexto local sin partir de cero.

Cómo empezar a implementar el MPI

Si estás evaluando por dónde partir, este es un roadmap práctico:

  1. Diagnóstico inicial: Mapea todos los datos personales que tu organización trata, las bases de datos, las finalidades y los flujos (incluidas transferencias internacionales). Si no sabes qué datos tienes y dónde están, todo lo demás queda en el aire.
  2. Construye el RAT: Documenta categorías de datos, propósitos, bases legales, destinatarios, plazos de conservación y decisiones automatizadas. Este registro es el insumo principal para la matriz de riesgo.
  3. Designa un DPD: Identifica a la persona (interna o externa) que liderará el modelo. Asegúrate de que tenga los medios, la autonomía y el acceso necesarios.
  4. Elabora la matriz de riesgo: Con el RAT como base, identifica las actividades de tratamiento con mayor probabilidad de infracción y clasifícalas por gravedad.
  5. Diseña protocolos y canales de reporte: Reglas operativas por tipo de dato y nivel de riesgo, más mecanismos de denuncia interna con protección al denunciante.
  6. Capacita y formaliza: Incorpora las obligaciones en contratos, entrena al personal y establece el régimen sancionatorio interno.
  7. Solicita la certificación: Cuando el modelo esté operando (no solo documentado), presenta la solicitud ante la Agencia.

Si tu organización ya tiene un modelo de cumplimiento general para la Ley 21.719, el MPI puede construirse sobre esa base. No son excluyentes: el MPI es el instrumento formal certificable que complementa tu programa de cumplimiento.

Dónde entra la gestión de endpoints

Un MPI creíble no vive solo en documentos de compliance. Necesita controles técnicos que respalden las políticas con evidencia operativa.

Para los equipos de IT, eso significa tener visibilidad real sobre los dispositivos que acceden a datos personales. Si un laptop con datos sensibles se pierde, si un equipo opera fuera de la red corporativa sin cifrado, si no puedes demostrar que aplicaste un borrado remoto cuando correspondía, tu MPI tiene un punto ciego.

La gestión de endpoints es una de las capas técnicas que alimentan directamente varios elementos del MPI:

  • La matriz de riesgo necesita saber qué dispositivos tratan datos y en qué condiciones
  • Los protocolos internos requieren capacidad de respuesta remota (bloqueo, cifrado, borrado)
  • Los canales de reporte se activan más rápido cuando tienes alertas automatizadas sobre comportamiento anómalo de dispositivos
  • La evidencia ante la Agencia se construye con registros de acciones tomadas sobre endpoints, no con promesas

Prey está diseñado para darle a los equipos de IT esa capa de visibilidad y control sobre dispositivos. Rastreo en tiempo real, cifrado remoto, borrado de datos, geofencing y un historial de acciones que funciona como registro de evidencia operativa.

Si estás construyendo tu MPI y necesitas cubrir el frente de endpoints, agenda una demo o explora cómo Prey se integra con tu estrategia de cumplimiento.

Preguntas frecuentes

Es obligatorio implementar un MPI?

No. El MPI es voluntario. Sin embargo, contar con uno certificado opera como atenuante ante sanciones de la Agencia, lo que lo convierte en una herramienta estratégica para cualquier organización que trate datos personales a escala.

Qué pasa si tengo un MPI pero no lo certifico?

Puedes tener un programa de cumplimiento interno sin certificación. Pero solo la certificación ante la Agencia garantiza su reconocimiento formal como atenuante. Sin ella, queda a criterio del regulador evaluar la diligencia de tu organización.

Las PYMEs también deberían implementar un MPI?

Depende del volumen y sensibilidad de los datos que traten. La ley ofrece flexibilidades para PYMEs (como permitir que el propietario actúe como DPD), y durante el primer año de vigencia (dic 2026 a dic 2027) solo recibirán amonestaciones, no multas. Pero si tratas datos sensibles o a gran escala, el MPI es una inversión inteligente independientemente del tamaño.

Cuánto toma implementar un MPI certificable?

No hay un plazo estándar, pero implementar un modelo completo (diagnóstico, RAT, matriz de riesgo, protocolos, capacitación) puede tomar entre 6 y 12 meses dependiendo de la complejidad de la organización. Por eso la recomendación es empezar ahora, no esperar a diciembre de 2026.

Sobre el mismo tema

Modelo de Prevención de Infracciones (MPI): guía para cumplir con la Ley 21.719
Modelo de Prevención de Infracciones (MPI): guía para cumplir con la Ley 21.719

Qué es el MPI bajo la Ley 21.719, qué elementos exige el DS 662/2025, cómo certificarlo ante la Agencia de Protección de Datos y por qué funciona como atenuante de sanciones. Guía práctica para IT y compliance.

Apr 17, 2026
Continuar leyendo
Errores comunes al crear un RAT bajo la Ley 21.719: señales de alerta que deberías corregir ahora
Errores comunes al crear un RAT bajo la Ley 21.719: señales de alerta que deberías corregir ahora

Finalidades genéricas, bases legales incorrectas, transferencias omitidas: los errores más frecuentes en el Registro de Actividades de Tratamiento bajo la Ley 21.719 y cómo resolverlos antes de una fiscalización.

Apr 9, 2026
Continuar leyendo
Qué es una Data Processing Agreement (DPA) y cuándo aplicarla
Qué es una Data Processing Agreement (DPA) y cuándo aplicarla

Qué es un DPA, cuándo la Ley 21.719 te obliga a firmarlo, y cómo respaldar cada cláusula con controles verificables sobre dispositivos.

Apr 9, 2026
Continuar leyendo