top of page
Buscar

Marco de Trabajo de Privacidad de Datos Personales

Actualizado: 7 abr

A partir de diciembre de 2026, el ecosistema institucional público y privado enfrenta un cambio de paradigma definitivo en Chile, con la plena vigencia de la Ley 21.719.


El desafío mas complejo y menos visible que las organizaciones enfrentan hoy no es legal o tecnológico; es el diseño de un nuevo Modelo Operativo para Privacidad de Datos Personales, y la adopción de las capacidades justas para hacerlo accionable.



Diseñar Modelos Accionables en Cambios Normativos


Cada vez que agregamos nuevas capacidades operacionales en organizaciones, debemos primero entender el beneficio en el Caso de Negocio, luego diseñar los modelos operacionales requeridos (Organización, Procesos, Gobierno) y finalmente asignar los recursos para operar (Personas, Sistemas, Infraestructura, Servicios), asegurando siempre que su costo se mantenga en el rango de inversión y gasto corriente. De este modo un modelo se vuelve accionable.


En cuanto a cambios normativos, las organizaciones suelen apuntar a desplegar capacidades mínimas necesarias para cumplir: evitar cometer infracciones y ser multadas. Por ello, los proyectos de transformación para cumplimiento normativo suelen ser formulados con el mínimo de recursos posible, solo para cumplir.


Bajo el nuevo marco regulatorio, este enfoque puede ser insuficiente y arriesgado.


Análisis de la Zona de Impacto Operacional


De cara a la entrada en vigencia de la Ley, las organizaciones se enfrentan a tres desafíos críticos para cumplir:


  1. Gestionar los Datos Personales

    Relevar y adecuar sus procesos de captura, registro y mantenimiento de datos personales, a los nuevos requerimientos normativos catalogados como Principios de la Ley: (1) Licitud, (2) Finalidad, (3) Minimización, (4) Exactitud y (5) Conservación. Esto implica identificar la brechas y probablemente reformular los procesos de captura, registro y mantenimiento que alimentan a los tradicionales sistemas CRM, ERP, y otros donde se almacenan datos personales. O eliminar algunos de esos registros, si aplica.


  2. Gestionar las Actividades de Tratamiento

    Relevar y adecuar los procesos de extracción, transformación y utilización de datos personales, asegurando que se cuenta con la licitud legal para cada tratamiento. Esto implica nuevamente identificar brechas en los usos actuales, confirmar su validez y vigencia, y luego reformular según se decida por mantener o descartar cada uso.


  3. Formular un Modelo de Prevención de Infracciones

    Necesario para demostrar debida diligencia en el tratamiento de datos personales, atendiendo los requerimientos de los otros Principios de la Ley: (6) Seguridad y Confidencialidad y (7) Responsabilidad Proactiva, o sea, la responsabilidad de cumplir y de demostrar con evidencia, que se cumple con todos los requerimientos normativos de la Ley, ante el regulador.


La evidencia exigida por el Principio de Responsabilidad Proactiva, para demostrar cumplimiento tanto en acciones operativas como preventivas, fija nuevos requerimientos respecto trazas de actividad, cuyo impacto en procesos y sistemas, pone a la Gestión de Metadata como un factor crítico de éxito: Sin un gobierno de Metadata sólido, es virtualmente imposible cumplir con la trazabilidad que la Ley 21.719 exigirá ante el regulador.


Principios de Diseño del Modelo Operativo


El Diagrama del Marco de Trabajo es el Plano de Arquitectura para la transformación. Los Modelos Operativos que se implementan usando su definiciones, abrazan los siguientes principios de Diseño Organizacional:


  1. Enfoque Basado en Riesgos (Proporcionalidad)

    Este principio dicta que los esfuerzos y recursos deben ser proporcionales al riesgo que el tratamiento de datos representa para las personas. No todas las empresas necesitan un búnker digital; algunas solo necesitan una buena caja fuerte.


  2. Privacidad desde el Diseño y por Defecto (Privacy by Design)

    La privacidad no puede ser un "parche" que se pone al final de un proyecto; debe ser un componente de la arquitectura inicial.


  3. Responsabilidad Proactiva (Accountability)

    Este es el principio "demuéstralo". Ya no basta con decir "yo cumplo la ley"; ahora la carga de la prueba recae sobre la organización.


Utilizando el Marco de Trabajo es posible definir y adoptar un Modelo Operativo de Privacidad que sea realmente accionable en la organización. No es una tarea fácil y por lo general se requieren años de experiencia en la gestión de datos. Quienes tengan la experiencia de haber adoptado prácticas de DAMA DMBoK correrán con ventaja en esto.


Anatomía de un Modelo Accionable


El diagrama segmenta el modelo en 3 bloques:


  1. Gobernanza y Supervisión (El Cerebro)

    El cumplimiento nace en la Alta Gerencia (CEO/Directorio). Sin presupuesto ni visión estratégica, cualquier esfuerzo es estéril. Aquí, la Gestión de Riesgo y Cumplimiento (CRO) juega un rol clave estableciendo los criterios de riesgo institucional, mientras el DPO (Delegado de Protección de Datos) actúa como el pivote central, conectando la estrategia con la supervisión de riesgos y la relación con la autoridad.


  2. Programa de Transformación (El Motor)

    La transición a la Ley 21.719 no ocurre por inercia ni de un día para otro. Será necesario conducir numerosas iniciativas de naturaleza heterogénea y con diferentes contrapartes para resolver todas las brechas de capacidad requeridas para el Cumplimiento Normativo. Un Programa de Transformación permite gestionar esas múltiples iniciativas como proyectos interconectados (legales, tecnológicos y culturales) y bajo una misma gobernanza. Es el puente que asegura que las políticas no se queden en el papel.


  3. Matriz de Especialidades y Líneas de Negocio (La Ejecución)

    Aquí es donde ocurre la magia técnica bajo la forma de una estructura matricial, en donde la operación se divide en roles especializados, que permean hacia todas las líneas de negocio (L1 a L4):


  • Gestión de Datos (CDO): Para que el dato sea privado, primero debe estar catalogado como Golden Record y ser de calidad.

  • Sistemas TI (CSO): Registros Maestros en Core/ERP/CRM, Sistemas para privacidad ARCO/Licitud/Audit Log, Sistemas ETL/DWH/BI, SDLC (ciclo de vida del software).

  • Seguridad (CISO): Cifrado y anonimización como estándares "por diseño".

  • Personas (CPO): Enfocado en el factor humano, la gestión del cambio organizacional y la Cultura

  • Proveedores (CVO): Para una gestión efectiva de terceros, que cumpla con los estándares de confidencialidad y due diligence.


¿A quién confiar su estrategia de Cumplimiento Normativo?


En un mercado saturado de promesas tecnológicas, mantenerse agnósticos a marcas y productos podría considerarse el requisito base para una buena elección. La única lealtad relevante es con el dato y con el negocio. En cambio, el acompañamiento de un Asesor Legal es indispensable, ya que la privacidad viene en este caso, desde un requerimiento normativo. No obstante, entender la Ley no es suficiente para traducir un Cuerpo Normativo en un Modelo Operativo accionable.

La ventaja de los Expertos en Procesos de Datos, los CDMP, que han liderado la adopción de los procesos de DAMA DMBoK, es que encuentran en las Normas de Privacidad de Datos un desafío que, de alguna forma, resulta familiar. Habilitados para orquestar a otros, extendiendo un puente efectivo desde la interpretación legal hasta la operación del negocio, integrando a todos quienes se encuentran entremedio.



Programa de Privacidad de Datos de DMC


El Programa de Privacidad de Datos es un Servicios del Consultoría ofrecido por DMC a organizaciones interesadas en avanzar en el cumplimiento cuerpos normativos de privacidad.


Este Marco de Trabajo es uno entre numerosos artefactos y entregables requeridos para el despliegue de un nuevo Modelo Operativo que integre la Gobernanza y la Privacidad en el ADN de la organización.


Y va mas allá, el Programa no solo asegura el cumplimiento legal, sino que optimiza el Caso de Negocio al evitar inversiones sobredimensionadas o innecesarias.


Además, DMC capacita a los profesionales del equipo cliente a través de su marca PreparaCDMP (visitar), ofreciendo Planes de Estudio que cubren todas las prácticas incluidas en DAMA DMBoK y preparando su certificación CDMP.


  • Cursos en e-learning (auto-instrucción supervisada con reporte de avance y desempeño al supervisor)

  • Talleres en vivo


Le invitamos contactarnos para conocer mas detalles de los Servicios de Consultoría de DMC para el Programa de Privacidad de Datos





Marco de Trabajo de Privacidad de Datos

Comentarios

Ya no es posible comentar esta entrada. Contacta al propietario del sitio para obtener más información.
bottom of page