Inventario de Datos Personales: Paso a Paso con Modelo
El inventario de datos personales es el primer paso — y quizás el más importante — para cualquier programa de cumplimiento con la Ley 21.719. Sin él, su organización no sabe qué datos trata, por qué los trata, dónde están almacenados ni quién tiene acceso.
En esta guía recorreremos todas las etapas para construir un inventario completo y funcional.
¿Por qué el inventario es obligatorio?
La Ley 21.719 — que reforma la Ley 19.628 sobre Protección de la Vida Privada y entra en vigencia el 1° de diciembre de 2026 — exige que los responsables y encargados del tratamiento mantengan un Registro de Actividades de Tratamiento (RAT). Este registro es el documento base para:
- Atender solicitudes ARCO+ de los titulares (Título II Ley 21.719): ¿cómo informar qué datos se tienen si no se sabe dónde están?
- Elaborar la EIPD (Evaluación de Impacto en la Protección de Datos Personales): la evaluación de impacto exige conocer las actividades de tratamiento
- Responder a la Agencia: en caso de fiscalización, el RAT es uno de los primeros documentos solicitados
- Gestionar riesgos: no se puede proteger lo que no se conoce
Etapa 1: Defina el alcance y el equipo
Antes de comenzar el mapeo, defina:
- Alcance: ¿toda la organización o un departamento/proceso específico?
- Equipo: ¿quiénes participarán? El Delegado de Protección de Datos lidera, pero necesita representantes de cada área
- Cronograma: defina plazos realistas — las organizaciones grandes pueden tardar semanas
- Herramienta: ¿planilla, sistema dedicado o formularios? (Spoiler: las planillas no escalan)
Consejo práctico
Comience por un departamento piloto — generalmente RR.HH. o Marketing, que tratan muchos datos personales y son más fáciles de mapear. El aprendizaje de ese piloto acelera el resto.
Etapa 2: Identifique las actividades de tratamiento
Una actividad de tratamiento es cualquier operación realizada con datos personales: recopilación, almacenamiento, comunicación, supresión, etc.
Para cada actividad, registre:
| Campo | Ejemplo |
|---|---|
| Nombre de la actividad | Registro de colaboradores |
| Departamento responsable | Recursos Humanos |
| Finalidad | Gestión de contratos laborales |
| Base de licitud | Ejecución de contrato |
| Categorías de datos | Nombre, RUT, domicilio, datos bancarios |
| ¿Datos sensibles? | Sí (salud — licencias médicas) |
| Categorías de titulares | Colaboradores |
| Fuente de los datos | Recopilación directa (formulario de incorporación) |
| Comunicación a terceros | Contabilidad tercerizada, SII, AFP, Previred |
| ¿Transferencia internacional? | No |
| Período de conservación | 5 años tras el término del contrato |
| Medidas de seguridad | Control de acceso, cifrado |
Etapa 3: Mapee el flujo de datos
Para cada actividad, diseñe el flujo completo de los datos:
Recopilación → Almacenamiento → Procesamiento → Comunicación → Conservación → Supresión
Esto ayuda a identificar:
- Puntos de recopilación: formularios, APIs, cargas, integraciones
- Almacenamientos: bases de datos, drives, emails, papel
- Comunicaciones: proveedores, socios, organismos públicos (SII, AFP, Registro Civil)
- Riesgos: datos en tránsito sin cifrado, copias no autorizadas
Etapa 4: Evalúe riesgos y brechas
Con el inventario mapeado, identifique:
- Actividades sin base de licitud: tratamiento que no se encuadra en ninguna de las bases de la Ley 21.719
- Datos excesivos: ¿necesita todos los datos que recopila? (Principio de proporcionalidad)
- Conservación indefinida: datos mantenidos "para siempre" sin justificación
- Comunicaciones innecesarias: proveedores que reciben más datos de los que necesitan
- Medidas de seguridad insuficientes: datos sensibles sin cifrado o control de acceso
Etapa 5: Mantenga el inventario activo
El inventario no es un documento estático. Necesita actualizarse siempre que:
- Se cree una nueva actividad de tratamiento
- Cambie un proceso existente
- Se contrate un nuevo proveedor
- Se modifique una base de licitud
- Una reclamación del titular revele algo no mapeado
Frecuencia recomendada
- Revisión completa: cada 6-12 meses (idealmente vinculada a los ciclos de auditoría)
- Actualizaciones puntuales: siempre que haya cambios en los procesos
- Validación con áreas: trimestralmente, con los responsables de cada departamento
Herramientas para el inventario
Planilla vs. Sistema dedicado
| Aspecto | Planilla | Sistema dedicado |
|---|---|---|
| Costo inicial | Bajo | Moderado |
| Escalabilidad | Limitada | Alta |
| Colaboración | Conflictos de versión | Tiempo real |
| Versionado | Manual | Automático |
| Informes | Manuales | Automáticos |
| Vinculación con EIPD | Manual | Integrado |
| Trazabilidad | Ninguna | Completa |
Para organizaciones con más de 20 actividades de tratamiento, un sistema dedicado como Confidata ahorra tiempo y reduce riesgos de error.
Conclusión
El inventario de datos personales es la base de todo el programa de cumplimiento con la Ley 21.719. Sin él, su organización opera a ciegas — sin saber qué datos tiene, dónde están y quién accede.
Comience por un departamento piloto, use una metodología estructurada y mantenga el inventario siempre actualizado. La Agencia de Protección de Datos Personales fiscalizará, y el RAT es uno de los primeros documentos solicitados.
¿Necesita ayuda para mapear los datos personales de su organización? Confidata automatiza todo el proceso de inventario con assessments guiados e inteligencia artificial embarcada. Conozca la plataforma.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.