Cómo crear una matriz de riesgos de privacidad
La gestión de riesgos de privacidad comienza con una pregunta simple y una respuesta que exige método: "¿Cuáles son los riesgos de nuestro tratamiento de datos y qué tan graves son?" Para llegar a esa respuesta de forma estructurada, la herramienta más utilizada es la matriz de riesgos —un modelo visual que combina probabilidad e impacto de cada riesgo en un mapa que permite priorización inmediata.
La Ley N° 21.719 no prescribe ninguna metodología específica de evaluación de riesgos. Sin embargo, su Art. 14 quinquies exige medidas de seguridad que consideren "el estado de la técnica, los costos de implementación y la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como la probabilidad y gravedad de los riesgos". Además, el Evaluación de Impacto en Protección de Datos (EIPD) es el instrumento para tratamientos de alto riesgo. La matriz de riesgos conecta ambas exigencias: ayuda a identificar qué tratamientos son de alto riesgo y qué medidas de seguridad son proporcionales.
Qué es una matriz de riesgos de privacidad
Una matriz de riesgos de privacidad es una tabla bidimensional donde:
- El eje horizontal representa la probabilidad de que un evento de riesgo ocurra
- El eje vertical representa el impacto en caso de que el evento ocurra
- Cada celda de la matriz recibe un nivel de riesgo resultante (bajo, medio, alto, crítico)
El resultado visual —frecuentemente denominado heatmap por gradarse del verde (bajo) al rojo (crítico)— permite que los gestores vean instantáneamente dónde están los riesgos más graves y prioricen acciones de mitigación.
La diferencia de la matriz de riesgos de privacidad respecto a una matriz de riesgos convencional está en la perspectiva doble que debe adoptarse: el riesgo para la organización (sanciones, daños reputacionales, costos de respuesta) y el riesgo para los titulares de los datos (daño a la privacidad, discriminación, daño patrimonial, riesgo a la seguridad física).
Paso 1: Definir el alcance
Antes de evaluar cualquier riesgo, es necesario definir qué se evaluará. El alcance de la matriz puede ser:
- Toda la organización (ideal para una primera evaluación amplia, vinculada al RAT)
- Una actividad de tratamiento específica (adecuado para el EIPD de un sistema nuevo o de alto riesgo)
- Un proyecto o producto nuevo (Privacy by Design —evaluar antes de entrar en producción)
El punto de partida es el RAT (Registro de Actividades de Tratamiento): cada línea del RAT es una actividad de tratamiento que puede evaluarse en cuanto a sus riesgos.
Consejo práctico: Para organizaciones que recién comienzan, priorice el alcance por las actividades de tratamiento más críticas —las que involucran datos sensibles, datos de menores, o que afectan a más personas. Amplíe después.
Paso 2: Identificar los riesgos por actividad de tratamiento
Para cada actividad de tratamiento en el alcance, formule la pregunta: "¿Qué puede salir mal con estos datos?"
Fuentes comunes de riesgos de privacidad:
Acceso no autorizado:
- Colaborador accede a datos sin necesidad (ausencia de control de acceso granular)
- Intrusión externa por atacante (phishing, ransomware, explotación de vulnerabilidad)
- Acceso indebido por proveedor con permisos excesivos
Uso inadecuado:
- Datos usados para una finalidad distinta a la declarada (desvío de finalidad)
- Compartimiento con tercero sin base de licitud
- Retención más allá del plazo definido (dato que debería haberse eliminado)
Exposición accidental:
- Correo enviado al destinatario equivocado con datos personales adjuntos
- Archivo con datos personales publicado en repositorio público por error
- Copia de seguridad sin cifrado en ubicación accesible externamente
Falla operacional:
- Sistema no disponible impide que el titular ejerza su derecho de acceso o eliminación
- Proceso de respuesta a incidentes inexistente —el incidente ocurre pero no se notifica a la Agencia dentro del plazo preferente (72 horas, Art. 14 sexies)
- Delegado de Protección de Datos no designado o sin datos de contacto publicados
Falla del proveedor:
- Encargado del tratamiento sin DPA o con DPA sin cláusulas efectivas sufre un incidente con datos del responsable
- Transferencia internacional sin garantías adecuadas (Ley N° 21.719)
Formato sugerido para el registro: Para cada riesgo identificado, anote: (1) el riesgo en una frase, (2) la actividad de tratamiento asociada, (3) el tipo de dato involucrado.
Paso 3: Definir la escala de probabilidad
La probabilidad mide la posibilidad de que el riesgo se materialice en un período definido (típicamente 12 meses o el horizonte de planificación).
| Nivel | Descripción | Ejemplos típicos |
|---|---|---|
| 1 — Muy baja | Ocurrencia improbable; sin historial | Ataque sofisticado a sistema bien protegido sin historial de incidentes |
| 2 — Baja | Podría ocurrir, pero poco frecuente | Phishing exitoso en organización con capacitaciones regulares |
| 3 — Media | Ocurre ocasionalmente en organizaciones similares | Correo con datos enviado al destinatario equivocado; acceso indebido por ex-colaborador |
| 4 — Alta | Ocurre con frecuencia o se espera dentro del período | Ausencia de MFA en sistemas con datos sensibles; proveedor sin DPA |
| 5 — Muy alta | Casi seguro de ocurrir; puede ya estar ocurriendo | Sistema sin control de acceso granular; datos retenidos más allá del plazo sin proceso de eliminación |
Para calibrar la escala: Use historial interno de incidentes, informes del sector, frecuencia observada en auditorías anteriores y vulnerabilidades conocidas en los sistemas.
Paso 4: Definir la escala de impacto
El impacto debe evaluarse desde ambas perspectivas —en la organización y en los titulares. Para riesgos de privacidad, el impacto en los titulares frecuentemente determina la clasificación de riesgo más alta.
Impacto en la organización:
| Nivel | Descripción |
|---|---|
| 1 — Insignificante | Sin repercusión; sin costo significativo |
| 2 — Menor | Costo operacional bajo; sin sanción |
| 3 — Moderado | Costo de respuesta relevante; riesgo de multa; reputación afectada localmente |
| 4 — Significativo | Sanción de la Agencia; investigación formal; repercusión en medios |
| 5 — Crítico | Sanción máxima (hasta 20.000 UTM o 4% de ingresos anuales); demanda colectiva; daño reputacional grave |
Impacto en los titulares:
| Nivel | Descripción |
|---|---|
| 1 — Insignificante | Sin consecuencia perceptible para el titular |
| 2 — Menor | Inconveniencia; malestar; sin daño material |
| 3 — Moderado | Exposición de dato no sensible; daño reputacional limitado; posible incomodidad |
| 4 — Significativo | Exposición de dato sensible; daño patrimonial; discriminación; riesgo de violencia |
| 5 — Crítico | Riesgo a la vida o integridad física; daño patrimonial grave; discriminación sistemática; exposición de menor o grupo vulnerable |
Regla de oro: Cuando el impacto en los titulares sea mayor que el impacto en la organización, use el impacto en los titulares como determinante. La Ley N° 21.719 protege los derechos de los titulares —la evaluación de riesgos debe reflejar eso.
Paso 5: Calcular y clasificar los riesgos
El nivel de riesgo se calcula por la combinación de probabilidad e impacto:
Nivel de riesgo = Probabilidad × Impacto
| Score | Clasificación | Color |
|---|---|---|
| 1–4 | Bajo | Verde |
| 5–9 | Medio | Amarillo |
| 10–16 | Alto | Naranja |
| 17–25 | Crítico | Rojo |
Matriz visual (heatmap):
Impacto
1 2 3 4 5
┌────┬────┬────┬────┬────┐
P 5 │ 5 │ 10 │ 15 │ 20 │ 25 │
r 4 │ 4 │ 8 │ 12 │ 16 │ 20 │
o 3 │ 3 │ 6 │ 9 │ 12 │ 15 │
b 2 │ 2 │ 4 │ 6 │ 8 │ 10 │
1 │ 1 │ 2 │ 3 │ 4 │ 5 │
└────┴────┴────┴────┴────┘
Scores 1-4: Bajo (verde) | 5-9: Medio (amarillo) | 10-16: Alto (naranja) | 17-25: Crítico (rojo)
Tratamientos de alto riesgo para el EIPD: Los riesgos clasificados como "Alto" o "Crítico" —score ≥ 10— generalmente indican que el tratamiento requiere un Evaluación de Impacto en Protección de Datos (EIPD) antes de comenzar (o una actualización del EIPD existente).
Paso 6: Definir el tratamiento de los riesgos
Para cada riesgo evaluado, hay cuatro respuestas posibles:
Evitar: Eliminar el tratamiento de datos que genera el riesgo —o modificarlo para que el riesgo desaparezca. Ejemplo: en vez de recolectar el RUT de todos los visitantes del sitio web, recolectarlo solo de quienes efectúan una compra.
Mitigar: Implementar controles que reduzcan la probabilidad o el impacto del riesgo. Ejemplos: cifrar la base de datos (reduce el impacto de una intrusión), implementar MFA (reduce la probabilidad de acceso indebido), capacitar a los colaboradores (reduce la probabilidad de errores).
Transferir: Compartir el riesgo con un tercero —típicamente mediante un seguro de responsabilidad cibernética o contratando encargados del tratamiento que asuman responsabilidad contractual (DPAs con responsabilidad clara). Importante: transferir el riesgo no elimina la responsabilidad legal —la organización sigue siendo responsable ante la Ley N° 21.719.
Aceptar: Reconocer el riesgo y decidir conscientemente no tomar acción adicional —porque el costo de la mitigación supera el costo esperado del riesgo, o porque el riesgo está por debajo del apetito de riesgo definido. La aceptación debe quedar documentada y aprobada por la dirección.
Riesgo residual: Tras implementar los controles, reevalúe el riesgo. Lo que queda es el riesgo residual. Si aún se ubica en zona "Alto" o "Crítico", se requiere mitigación adicional o la aceptación debe contar con aprobación de un nivel jerárquico superior.
Factores especiales de privacidad que elevan el impacto
La evaluación de impacto en privacidad tiene matices que una matriz de riesgos genérica puede no capturar. Los siguientes factores deben elevar automáticamente el nivel de impacto evaluado:
- Datos sensibles (Ley N° 21.719): Datos de salud, biometría, origen étnico/racial, religión, afiliación política/sindical, orientación sexual, identidad de género —la exposición tiene impacto social desproporcionado
- Datos de niños, niñas y adolescentes: Vulnerabilidad especial; impacto potencial de largo plazo
- Datos de personas en situación de vulnerabilidad: Personas en situación de calle, pacientes en tratamiento, víctimas de violencia —la exposición puede comprometer la seguridad física
- Volumen de titulares afectados: Un riesgo que afecta a 100 personas es distinto de uno que afecta a 1 millón, aunque el tipo de dato sea el mismo
- Irreversibilidad del daño: Los datos publicados públicamente son prácticamente irreversibles; los datos en un correo equivocado pueden contenerse
Revisión periódica: la matriz no es estática
Una matriz de riesgos de privacidad tiene validez limitada. Nuevos sistemas, nuevos proveedores, nuevas bases de licitud, cambios regulatorios e incidentes ocurridos (internos y de mercado) cambian el perfil de riesgos.
Cuándo revisar:
- Al menos una vez al año (revisión periódica programada)
- Antes de lanzar nuevos sistemas o ampliar el tratamiento de datos existente
- Tras cualquier incidente significativo (el incidente probablemente reveló riesgos no mapeados)
- Tras un cambio regulatorio relevante (nuevo reglamento de la Agencia, nueva ley sectorial)
- Cuando un proveedor relevante sufra un incidente o sea reemplazado
Plantilla simplificada de registro
Para cada riesgo identificado, registre:
| Campo | Contenido |
|---|---|
| ID del riesgo | R-001, R-002, etc. |
| Actividad de tratamiento | Ej.: ficha clínica electrónica de pacientes |
| Descripción del riesgo | Ej.: acceso indebido por colaborador sin necesidad a la ficha clínica |
| Tipo de dato involucrado | Ej.: datos de salud —dato sensible |
| Probabilidad (1-5) | Ej.: 3 (ocurre ocasionalmente) |
| Impacto en los titulares (1-5) | Ej.: 5 (dato de salud; titular vulnerable) |
| Impacto en la organización (1-5) | Ej.: 4 (sanción + reputación) |
| Score de riesgo | Ej.: 3 × 5 = 15 (Alto) |
| Controles existentes | Ej.: control de acceso por perfil en el sistema |
| Tratamiento definido | Ej.: mitigar —implementar log de acceso + alertas de acceso anómalo |
| Riesgo residual | Ej.: 3 × 3 = 9 (Medio —aceptable) |
| Responsable | Ej.: DPO + TI |
| Plazo | Ej.: 31/03/2027 |
Conexión con el EIPD
Cuando una actividad de tratamiento presenta riesgos clasificados como "Alto" o "Crítico" en la matriz, el siguiente paso es la elaboración del EIPD (Análisis de Impacto en Protección de Datos).
El EIPD profundiza el análisis realizado en la matriz: mientras la matriz identifica y clasifica los riesgos, el EIPD documenta la evaluación de necesidad y proporcionalidad del tratamiento, describe los riesgos en detalle y las medidas de mitigación adoptadas, y demuestra que el riesgo residual fue aceptado conscientemente o mitigado a un nivel aceptable.
La matriz de riesgos, por tanto, no reemplaza al EIPD —lo alimenta y fundamenta.
Conclusión
Crear una matriz de riesgos de privacidad no es una tarea compleja —es una tarea que exige disciplina y honestidad. El mayor valor de la herramienta no está en el heatmap resultante, sino en el proceso de identificación y análisis que obliga a la organización a pensar sistemáticamente sobre qué puede salir mal con cada dato que trata.
Para organizaciones que aún no cuentan con ninguna herramienta formal de gestión de riesgos de privacidad, comenzar con una matriz simple —probabilidad 1-5 × impacto 1-5, con los riesgos de las actividades de tratamiento más críticas— es el paso más rápido y eficaz para demostrar conformidad con el Art. 14 quinquies de la Ley N° 21.719 e identificar los tratamientos que requieren EIPD.
Confidata incluye módulo de gestión de riesgos integrado al RAT: cada actividad de tratamiento puede evaluarse directamente en la plataforma, con heatmap automático, vínculo al EIPD cuando corresponde y panel de riesgos por área u organismo.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.