El Decreto N°662/2025 del Ministerio de Hacienda de fecha 13 de junio de 2025 sobre modelos de prevención de infracciones en datos personales, se encuentra actualmente en la Contraloría General de la República para el trámite de toma de razón, que es el control preventivo de legalidad que realiza dicha institución sobre los actos administrativos.
Una vez que se efectúe la toma de razón, el decreto será publicado en el Diario Oficial, y complementará la Ley N°21.719.
Este Reglamento establece los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los Modelos de Prevención de Infracciones en materia de datos personales.
Un modelo de prevención de infracciones consiste en un programa de cumplimiento en materia de protección de datos personales que los responsables de datos podrán adoptar voluntariamente, que se compone de instrumentos que en su conjunto son una herramienta para la gestión responsable de los riesgos asociados al tratamiento de protección de datos personales.
Los elementos que debe considerar el Modelo de Prevención de Infracciones son:
– Individualización del responsable de datos.
– Registro de Actividades de Tratamiento (“RAT”): constituye el mecanismo central para la identificación y caracterización de todas las actividades de tratamiento de datos personales realizados por el responsable.
– Designación de un Delegado de Protección de Datos, definiendo sus facultades de acuerdo con los requisitos del Reglamento.
– La caracterización de los datos personales que el responsable trata, las categorías de datos personales y de bases de datos que administran, y la caracterización de las operaciones de tratamiento que realiza
– La identificación de las actividades de tratamiento de datos o procesos de la entidad, sean habituales o esporádicos.
– Protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades de tratamiento o procesos de la entidad, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones.
– Los mecanismos de reporte interno sobre el cumplimiento o la comisión de infracciones a las normas aplicables a la protección de datos personales.
– Las sanciones administrativas internas y los procedimientos sancionatorios aplicables por la vulneración a lo dispuesto en las normas aplicables al tratamiento de datos personales o a lo dispuesto en el programa de cumplimiento.
– Los mecanismos de denuncia interna de la comisión de infracciones a las reglas aplicables al tratamiento de datos personales, ante el delegado.
El Delegado de Protección de Datos Personales es obligatorio solo cuando se adopta y certifica un programa de cumplimiento. Puede ser tanto dependiente como independiente de la identidad.
Respecto de sus funciones, el delegado debe asesorar sobre el cumplimiento normativo, participar en la elaboración del programa de cumplimiento, así como comunicar infracciones y actuar como intermediario con la Agencia de Protección de Datos Personales.
El Reglamento también, describe el proceso de certificación, registro y supervisión del Modelo.
La Agencia podrá certificar aquellos Modelos que cumplan con los requisitos de la Ley y el Reglamento.
El procedimiento de certificación se inicia a solicitud del interesado, y deberá tramitarse en conformidad con la Ley N°19.880, y una instrucción general posterior de la Agencia.
Una vez acreditada su conformidad, el Modelo certificado deberá registrarse en el Registro Nacional de Sanciones y Cumplimiento, individualizando al responsable, su representante legal, su fecha y plazo de vigencia. El procedimiento de certificación tendrá una vigencia de tres años.
La Agencia podrá revocar la certificación si se incumplen los requisitos establecidos por la Ley y el Reglamento, incluyendo la aplicación de sanciones por infracción.
Ontier LLP is authorised and regulated by the Solicitors Regulation Authority, registration number OC327289.
