Columnas
Modelo de prevención de infracciones en la LPDP: ¿obligatorio o voluntario para los órganos públicos?
Por Carlo Benussi*
Estamos próximos a la entrada en vigencia de la nueva Ley de Protección de Datos Personales LPDP, el 1 de diciembre de 2026. Durante este período, entidades privadas y organismos públicos navegan una regulación que, mientras no existan directrices de la Agencia de Protección de Datos Personales ni criterios de los tribunales, exigirá interpretar y aplicar sus disposiciones conforme al mejor estándar jurídico disponible.
Esa tarea es especialmente relevante para los organismos públicos, a los que el legislador -siguiendo la ley 19.628 vigente- consagró como una clase de responsables calificados y sometidos a un estatuto especial en su Título IV. Así se aprecia, por ejemplo, en la base de legalidad específica del artículo 20, y en el artículo 21, que además de sujetar el tratamiento a los principios generales que rigen la Administración del Estado, determinó -mediante remisiones- qué normas les resultan aplicables, excluyendo, por ejemplo, reglas sobre oposición a decisiones individuales automatizadas, bloqueo, portabilidad y evaluaciones de impacto en protección de datos.
En ese marco surge una pregunta: ¿el modelo de prevención de infracciones previsto en la LPDP es obligatorio o voluntario para los organismos públicos? La tensión se produce al contrastar los artículos 44 y 49. El artículo 49 dispone que los responsables de datos “podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento (…)”. Por su parte, el artículo 44, señala que los órganos públicos deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia “o a los programas de cumplimiento o de prevención de infracciones del artículo 49”.
Una primera lectura podría llevar a sostener que, bajo el artículo 44, los organismos públicos estarían obligados a adoptar el modelo del artículo 49, incluyendo el set de requerimientos del programa, tales como nombrar un DPO, establecer protocolos, reglas y procedimientos específicos, mecanismos de reporte, así como sanciones internas junto con procedimientos de denuncia. A nuestro juicio, esa interpretación no sería la correcta.
En primer lugar, porque la estructura de la LPDP distingue entre acciones preventivas obligatorias y el modelo de prevención. En efecto, el artículo 48 ya establece un deber general al indicar que todos los responsables deben adoptar acciones destinadas a prevenir infracciones, lo cual se diferencia del modelo que fue regulado separadamente en el artículo 49. Este último es una forma específica, estructurada y voluntaria de programa de cumplimiento definido por el legislador.
En segundo lugar, por el tenor literal del artículo 49 que, referido al modelo de prevención de infracciones, utiliza expresamente la fórmula: los responsables “podrán voluntariamente adoptar” el modelo de prevención. La norma no distingue entre responsables privados y públicos, y si el legislador hubiese querido imponerlo obligatoriamente a los organismos públicos lo habría indicado, más aún tratándose de una carga organizacional compleja y jurídicamente relevante.
En tercer lugar, por la ubicación y función del artículo 44 referido a la responsabilidad del jefe superior del servicio, y que no regula mecanismos de cumplimiento preventivo, sino que el régimen especial de responsabilidad en el marco de los órganos públicos. En ese contexto, la referencia al artículo 49 debe ser entendida dentro del marco de esa disposición y, en concreto, de las potestades que tiene la Agencia frente a la infracción de un responsable de esta clase.
En cuarto lugar, conforme la historia de la ley, en donde este tema fue discutido latamente como quedó descrito en el Primer informe de la Comisión de Constitución, prosperando la voluntariedad del modelo para todos los responsables, pero bajo un marco un común consistente en tener que adoptar acciones para prevenir la comisión de infracciones que señala el artículo 48.
Bajo este panorama, el alcance del artículo 44 no conllevaría una regla de obligatoriedad uniforme para los organismos públicos de tener que adoptar un modelo bajo el artículo 49, sino más bien una atribución para que la Agencia, en el marco de un procedimiento concreto, determine frente al organismo infractor, ya sea su sometimiento a determinadas medidas correctivas o preventivas específicas, o la instauración de un programa de cumplimiento en los términos del artículo 49.
Esta interpretación es coherente, a nuestro juicio, con la arquitectura especial que la LPDP construye para el sector público, además de otorgar mayor densidad al catálogo de herramientas disponible respecto de esta clase de responsables, donde la multa sobre un porcentaje de la remuneración del jefe de servicio no necesariamente será la vía que redunde en una mejor protección de los derechos de los titulares, sobre todo en un escenario inicial de implementación de la LPDP. En síntesis, la fórmula de esta ley conllevaría una regla de prevención obligatoria en el artículo 48, un modelo de prevención voluntario en el artículo 49, y una atribución para medidas específicas de la Agencia en el artículo 44.
*Carlo Benussi es abogado. Licenciado en Ciencias Jurídicas y Sociales de la Universidad de Chile y Magíster en Derecho, mención Derecho Regulatorio de la Pontificia Universidad Católica de Chile. Actual Delegado de Protección de Datos Personales del Consejo para la Transparencia. Certificado como Certified Information Privacy Manager por la IAPP. Docente y director académico de los cursos de protección de datos personales de la Escuela de Gobierno de la Universidad Adolfo Ibañéz. Fue asociado en protección de datos y tecnología en Carey y Cía, y Magliona Abogados. Con experiencia tanto en el sector público como en el privado en materias asociadas a la protección de datos personales, el acceso a la información pública, el Derecho Administrativo, la ciberseguridad y la propiedad intelectual.
