Avanza la tramitación del reglamento del modelo de prevención de infracciones en protección de datos personales

• El Decreto N°662/2025 del Ministerio de Hacienda se encuentra en proceso de toma de razón ante la Contraloría General de la República. Este decreto aprueba el reglamento que regula los requisitos, modalidades y procedimientos para la implementación del modelo de prevención de infracciones, contemplado en el artículo 49 que la Ley N°21.719 incorpora a la Ley N°19.628. 
• Con esta norma, se profundizan los requisitos establecidos en la Ley, entregando lineamientos concretos para que las organizaciones diseñen e implementen programas de cumplimiento orientados a prevenir infracciones en el tratamiento de datos personales. 

Algunos de los aspectos clave que desarrolla el decreto son los siguientes:

• Registro de Actividades de Tratamiento (RAT): establece un contenido mínimo obligatorio que incluye categorías de datos, bases de licitud, identificación de datos sensibles, fuentes de origen, transferencias internacionales, plazos de conservación y existencia de decisiones automatizadas.
• Matriz de riesgos: exige identificar y priorizar las actividades de tratamiento con mayor probabilidad de infracción, considerando además la graduación de las sanciones previstas en la ley.
• Delegado de Protección de Datos Personales: detalla funciones, requisitos de idoneidad, garantías de independencia y provisión de recursos. El delegado podrá ser dependiente del responsable o desempeñar sus funciones en virtud de un contrato de servicios. Incluso, una misma persona podrá ejercer este rol para varios responsables.
• Protocolos y reglas internas: se debe confeccionar la documentación considerando las operaciones de tratamiento realizadas, la cantidad y tipo de datos tratados, los riesgos asociados y las características de la entidad, incluyendo su tamaño y capacidad económica.
• Mecanismos de reporte y denuncia: deben existir canales expeditos y permanentes para informar sobre el cumplimiento o la comisión de infracciones. El programa debe contemplar también el reporte a la autoridad o a los titulares, además de la autodenuncia ante la Agencia. Internamente, se incorpora la denuncia directa al delegado, asegurando la reserva de identidad del denunciante.
• Certificación y caducidad: define el procedimiento de certificación, con vigencia de tres años, causales de revocación y un registro público que dará transparencia al cumplimiento.
• Regulación interna: las obligaciones que genere el modelo deberán incorporarse en contratos de trabajo, de prestación de servicios y, cuando corresponda, en el reglamento interno, cumpliendo con las exigencias del Código del Trabajo.
• Difusión y supervisión: el modelo debe ser conocido por todos los miembros de la organización y estará sujeto a la supervisión de la Agencia, que podrá requerir información, verificar su implementación y, si corresponde, revocar la certificación.