En las últimas instancias de aprobación se encuentra el nuevo reglamento que fija lineamientos y certificación para programas de cumplimiento en protección de datos, previsto en el artículo 49 de la Ley de Protección de Datos Personales.
Según explica Antonia Nudman, Asociada Senior az Tech de la firma Albagli Zaliasnik, “el reglamento tiene por objetivo establecer los requisitos, modalidades y procedimientos para la implementación, registro y supervisión de los Modelos de Prevención de Infracciones. Aunque su adopción es voluntaria, se deja claro que ello no exime a los responsables del deber de implementar acciones para prevenir infracciones y cumplir con las disposiciones de la Ley de Datos”.
Los programas de cumplimiento corresponden al Modelo de Prevención de Infracciones y pueden ser adoptados por cualquier responsable de datos, persona natural o jurídica. Entre sus principales contenidos se incluyen:
– Individualización del responsable de datos y su representante legal.
– Designación del Delegado de Protección de Datos (DPO), con definición de sus medios y facultades.
– Se contempla la modalidad de “DPO as a Service”, obligándose siempre a designar a una persona natural en el contrato.
– Caracterización de los datos personales tratados, incluyendo categorías, finalidades, fuentes, bases de licitud, plazos de conservación y existencia de decisiones automatizadas.
– Posibilidad de cumplimiento con Registro de Actividades de Tratamiento (RAT) con contenidos mínimos definidos en la norma.
– Identificación de actividades de tratamiento de mayor riesgo, incorporándolas en una matriz de riesgos graduada según las sanciones de la ley.
– Protocolos, reglas y procedimientos específicos para que las personas que intervienen en actividades de tratamiento o procesos desempeñen sus tareas previniendo infracciones.
– Mecanismos internos de reporte y denuncia ante el DPO, garantizando la reserva de identidad del denunciante y la prohibición de medidas desfavorables en su contra.
– Sanciones administrativas internas y procedimientos sancionatorios aplicables por infracción a las normas internas.
– Cláusulas de difusión interna y canales de comunicación efectivos para asegurar la comprensión y cumplimiento del programa.
– Cualquier otra disposición necesaria o útil para el cumplimiento de las normas aplicables a la protección de datos personales.
Delegado de Protección de Datos (DPO) – Funciones Reforzadas
El documento establece de forma detallada el rol del DPO, quien se convierte en el pilar técnico-jurídico del MPI. Entre sus funciones y obligaciones destacan, entre otras:
– Informar y asesorar al responsable, a terceros encargados/mandatarios y a los dependientes sobre las disposiciones legales aplicables al tratamiento de datos personales.
– Participar en la revisión y modificación del programa de cumplimiento, proponiendo ajustes cuando detecte riesgos u oportunidades de mejora.
– Promover la difusión, conocimiento, comprensión y cumplimiento de la política que dicte el responsable en materia de protección de datos.
– Supervisar el cumplimiento normativo, evaluando periódicamente la eficacia de las medidas adoptadas y verificando la corrección de posibles desviaciones.
– Comunicar directamente a la autoridad competente cualquier infracción a la norma aplicable al tratamiento de datos de la que tome conocimiento, sin interferencias del responsable.
– Impulsar la formación y capacitación permanente del personal en materia de protección de datos.
– Asesorar al responsable en la identificación de los riesgos asociados a las actividades de tratamiento que realice la entidad y en la adopción de medidas preventivas.
– Garantizar canales de comunicación seguros y confidenciales con titulares, personal interno y terceros, velando por la reserva de identidad de denunciantes.
Certificación y supervisión
La disposición establece el procedimiento para la aprobación, certificación, registro, implementación y supervisión de los programas de cumplimiento.
La certificación será otorgada por la agencia mediante procedimiento iniciado por el interesado, con vigencia de 3 años y causales de caducidad como revocación, disolución de la persona jurídica o cese voluntario de la actividad.
Antonia Nudman advierte que “aunque la certificación del Modelo de Prevención de Infracciones es formalmente opcional, es clave tener presente que gran parte de los contenidos del reglamento corresponden a obligaciones legales que entrarán en vigencia junto con la nueva Ley de Protección de Datos Personales en 2026. En otras palabras, no se trata sólo de un estándar voluntario: varias de las exigencias incluidas, como la caracterización de los datos tratados, la transparencia e información a los titulares, la identificación de actividades de riesgo o la existencia de protocolos y
canales de denuncia, derivan directamente de la Ley y deberán cumplirse obligatoriamente por todo responsable.”
La experta agrega que “la certificación agrega valor como atenuante y como sello de buenas prácticas, pero no exime del cumplimiento obligatorio de estas medidas. Este reglamento funciona, en la práctica, como una guía para estructurar y evidenciar ese cumplimiento, fortaleciendo la gobernanza de datos, la confianza frente a titulares y autoridades y la gestión proactiva de riesgos regulatorios.”
