Chatbot
🤖 Hopit AI
Santiago, Chile
Síguenos en nuestras redes

BLOG

Inventario de datos personales

Inventario de datos personales
Imagen de Nicolas

Nicolas

Blogs  Gestión Documental  IDP  Protección de datos

En el blog “El rol del gestor documental DocuWare en el cumplimiento y la gestión integral de la Ley 21.719 sobre Protección de datos personales”, revisamos en profundidad la importancia de los gestores documental como herramienta de cumplimiento de la nueva ley y específicamente los frentes en los que DocuWare cobra gran relevancia para demostrar cumplimiento ante la agencia. Si no lo has leído aún, te invito a hacerlo antes de continuar con este blog.

Como vimos, DocuWare nos apoya, entre muchas otras cosas, tanto en la gestión y acceso a datos personales como con la capacidad para exportar, corregir y eliminar datos personales. Sin embargo, si no sabemos qué categorías de datos personales recolectamos y tratamos como organización de nuestros clientes, colaboradores y proveedores, ¿Cómo vamos a poder cumplir con la ley? Primero lo primero.

¿Qué es el inventario de datos personales?


Es el registro exhaustivo, estructurado y actualizado de todos los datos personales que una compañía trata, indicando qué datos existen, de quiénes son, dónde se encuentran, con qué finalidad se usan, bajo qué base legal, cuáles son sus niveles de sensibilidad, en qué soportes se almacenan (digitales o físicos), quién accede a ellos, cuánto tiempo se conservan y qué medidas de seguridad los protegen.

El inventario es el mapa absoluto del ecosistema de datos personales de la organización, condición mínima para lograr transparencia, control, trazabilidad y cumplimiento.

Más allá de las bases de datos


La gran mayoría de las organizaciones creen que “sus datos están en la base de datos”.
Eso no es cierto y es una de las causas más frecuentes de incumplimiento.

La ley abarca tanto lo físico como lo digital, por lo que también son fuentes de tratamiento de datos:

  • Un documento físico en un archivador.
  • Un correo electrónico con datos de clientes.
  • Una planilla Excel compartida en red.
  • Un archivo en OneDrive/Drive/SharePoint.
  • Un formulario firmado en papel.
  • Una ficha de salud en un mueble.

¿Cómo Valuetech apoya en la creación del inventario de datos?


  • Digitalización masiva y sistemática con scanners Ricoh: Mucha información personal y sensible aún está en el mundo físico, es por ello que un primer paso es el despliegue de equipos de escaneo de alto rendimiento para la captura de documentación histórica física existente (contratos laborales, contratos con clientes/proveedores, registros, formularios, políticas, consentimientos, derechos). Además de digitalizar el stock, se deben configurar estaciones de captura digital para ingreso continuo. Luego del proceso de digitalización, se realiza un envío automático al motor IDP de Valuetech explicado en el punto siguiente para extraer y clasificar información personal.
  • El motor IDP de Valuetech (basado en IA y OCR/HTR avanzado) permite capturar, clasificar, extraer y validar datos desde documentos no estructurados. Con ello, somos capaces de:
    • Identificar automáticamente datos personales en cualquier documento, incluidos los datos personales sensibles, pudiendo agregarles etiquetas
    • Clasificar automáticamente el tipo de documento según reglas de negocio
    • Extracción de metadatos relevantes en caso de estar declarados (titular y destinatario, finalidad y base legal del documento, firma, fecha de firma, plazos, tipos de tratamiento, ubicación del dato)
    • Una vez capturados y analizados los documentos, tanto documentos como metadatos son enviados a nuestro gestor documental DocuWare para ser almacenados de forma segura, con control de acceso, cifrado, entre otras medidas para su posterior búsqueda, o bien disponibilizados al cliente donde estime conveniente.
  • Integraciones con cualquier sistema: Nuestra propuesta incorpora la capacidad de integrar nuestro gestor documental DocuWare y/o plataforma IDP con cualquier sistema existente en la organización, incluyendo ERP, CRM, bases de datos, sistemas core o legacy, aplicaciones internas, sistemas propios del negocio, sistemas de tercero de cumplimiento y/o herramientas de gestión de consentimientos como OneTrust, Ketch o bien cualquier otra solución actualmente en uso. Esto permite tener todo centralizado en un único lugar y una visión completa del inventario de datos, permitiendo que la información fluya de manera automática y segura entre los distintos sistemas. De este modo, se eliminan silos de información, se reducen errores operativos y se asegura que cada obligación de la Ley 21.719 (consentimientos, derechos ARSOP, registros de actividad, evidencias, políticas, retención y eliminación) se encuentre respaldada, trazada y disponible en un repositorio central, auditable y controlado.

¿Qué servicios complementarios y dependientes del inventario de datos ofrece Valuetech?


Ya vimos en este blog varios servicios asociados a nuestro gestor documental DocuWare, pero además, gracias a desarrollos tecnológicos en sistemas, plataformas y procesos no necesariamente están dentro de DocuWare, podemos:

  1. Implementar un Registro de Actividades de Tratamiento (RAT) automatizado:
  • Configuración de módulo RAT basado en DocuWare con mapeo automatizado de flujos de datos. Este componente permite crear y mantener un inventario centralizado de todas las actividades de tratamiento de datos personales en la organización, conocido como Registro de Actividades de Tratamiento
  • Identificación y registro de: tipos de datos tratados, finalidades, bases legales, ubicación de almacenamiento, cesiones y transferencias
  • Dashboard de visualización para responsable de protección de datos con alertas de tratamientos sin base legal o controles faltantes
  • Integración con sistemas externos existentes en la medida que sean compatibles con DocuWare
  1. Herramienta para realizar evaluaciones de impacto:

Proporciona una herramienta de software para realizar Evaluaciones de Impacto en la Protección de Datos Personales (EIPD o PIA por sus siglas en inglés) de forma guiada y documentada. Básicamente, asiste a la organización en la realización de Data Protection Impact Assessments (DPIA) cuando va a iniciar un proyecto o procesamiento que podría ser de alto riesgo para la privacidad. El módulo incluye cuestionarios y plantillas para identificar los datos involucrados, las finalidades, evaluar la necesidad y proporcionalidad del tratamiento, analizar riesgos para los derechos de las personas y proponer medidas de mitigación. Además, incluye cuestionario con análisis de riesgos (matriz de probabilidad e impacto); workflow de aprobación; y vinculación con RAT.

¿Por qué es importante tener un inventario de datos?


Tener un inventario de datos proporciona, entre otras cosas, visibilidad sobre dónde residen los datos sensibles para aplicar controles de seguridad, políticas especiales, controles de acceso, estar preparados ante solicitudes para ejercer los derechos ARSO-P por parte de los titulares y obviamente poder realizar registros de actividades de tratamiento (RAT) y/o evaluaciones de impacto.

Sin inventario:


  • No sabes en qué sistemas del cliente está cada dato.
  • No puedes eliminar ni rectificar de forma completa.
  • No sabes qué terceros recibieron los datos.
  • No puedes entregar portabilidad sin identificar origen y formato.
  • No tienes la fuente de verdad que alimenta el RAT.
  • Ninguna evaluación de impacto puede hacerse seriamente sin un inventario previo, dado que por ejemplo no sabemos el volumen ni sensibilidad de los datos
  • La ley también exige seguridad y notificación de incidentes, si no tenemos un inventario vivo, en caso de incidentes, no sabemos qué datos se afectaron, de qué personas, en qué sistemas ni con qué sensibilidad.

🧭 ¿Cómo podemos ayudarte?

En ValueTech llevamos más de 24 años ayudando a organizaciones de todos los tamaños a transformarse digitalmente través de la automatización y gestión inteligente de procesos, documentos e información. Todo esto dentro de los distintos marcos normativos.

Diseñamos soluciones a medida, conectadas con tus sistemas actuales y orientadas a generar resultados reales desde el primer día. 

📩 ¿Te gustaría ver cómo podemos apoyarte a cumplir con la nueva ley 21.719 sobre protección de datos personales?

Conversemos, cuéntanos tu problema y desafío y seguramente podremos ayudarte. Escríbenos a [email protected] y agenda una demo personalizada con nuestro equipo.

Todas nuestras soluciones en el marco de la ley 21.719, buscan asistir al Delegado de Protección de Datos (DPO) en sus tareas diarias ofreciendo soporte local, alineado con la regulación chilena y proporcionando evidencia de cumplimiento normativo.

🌐 Conoce nuestras otras soluciones en www.valuetech.cl

🔗 No olvides seguirnos en LinkedIn para más contenidos sobre transformación digital

Blog Valuetech®

Revisa nuestras otras publicaciones disponibles

Close
Buscar

Presiona ENTER para buscar o ESC para cerrar