Cómo mapear el flujo de datos personales en su organización
Ya hizo el inventario de datos personales de su organización. Ahora viene la etapa que la mayoría de las empresas realiza mal: mapear cómo se mueven esos datos. Saber qué datos tiene no es suficiente — es necesario entender de dónde vienen, por dónde pasan, quién los accede y adónde van.
Este proceso se llama data flow mapping (mapeo de flujo de datos personales) y es la diferencia entre un programa de cumplimiento superficial y uno robusto.
Qué es el data flow mapping — y por qué es diferente del inventario
Tres conceptos se confunden con frecuencia:
Inventario de datos es una fotografía estática: lista qué datos existen, en qué sistemas y en qué departamentos. Responde a la pregunta: ¿qué tenemos?
RAT (Registro de Actividades de Tratamiento, exigido por la Ley 21.719) es el documento formal que consolida las operaciones de tratamiento: finalidades, bases de licitud, destinatarios, plazos de conservación. Responde a la pregunta: ¿qué hacemos con los datos?
Data flow mapping es el proceso investigativo que rastrea la trayectoria dinámica de los datos a lo largo de su ciclo de vida. Responde a la pregunta: ¿cómo se mueven los datos? Muestra:
- De dónde vienen los datos (recopilación)
- Por dónde pasan (sistemas, personas, departamentos)
- Con quién se comparten (terceros, proveedores, socios)
- Dónde se almacenan (bases de datos, drives, emails, papel)
- Cuándo y cómo se eliminan (supresión)
La relación entre los tres es directa: el data flow mapping es el proceso investigativo que provee los insumos para construir el inventario y el RAT. Sin él, sus registros serán incompletos y el programa de cumplimiento, frágil.
Por qué el mapeo de flujo es imprescindible en la práctica
La Ley 21.719 no usa el término "data flow mapping" explícitamente, pero los siguientes principios y obligaciones hacen que el mapeo sea indispensable:
- Principios de finalidad, adecuación y necesidad: exigen que el responsable conozca profundamente sus propios flujos de datos
- RAT: no puede construirse sin mapeo previo
- EIPD (Evaluación de Impacto en la Protección de Datos): presupone una descripción detallada de los flujos de tratamiento — la primera fase de la EIPD es el data flow mapping
- Medidas de seguridad: solo pueden definirse sobre riesgos conocidos — imposible sin mapear
- Incidentes de seguridad (Art. 14 sexies Ley 21.719): ante un incidente, la organización necesita saber exactamente qué datos fueron afectados — esto exige un mapeo actualizado
Paso a paso: cómo realizar el data flow mapping
Paso 1 — Forme un equipo multidisciplinario
El error más común es tratar el mapeo como tarea exclusiva de TI. Los datos personales permean todos los departamentos: RR.HH. trata datos de colaboradores, Marketing trata datos de prospectos, Finanzas trata datos de proveedores y clientes, Jurídico trata datos de partes en contratos y litigios.
Forme un equipo que incluya:
- Delegado de Protección de Datos (coordinación y metodología)
- Representante de TI (sistemas e infraestructura)
- Representante de cada área de negocio relevante
- Jurídico (bases de licitud y contratos con terceros)
Paso 2 — Defina el alcance
Antes de mapear, decida:
- Alcance: ¿toda la organización de una vez o un departamento piloto?
- Tipo de datos: ¿solo datos de clientes o también colaboradores, proveedores, visitantes?
- Sistemas: ¿solo sistemas corporativos o también herramientas SaaS, drives personales, archivos físicos?
Recomendación: Comience por RR.HH. o Marketing — son los departamentos que más tratan datos personales y suelen ser los más receptivos al proceso de levantamiento.
Paso 3 — Levante los datos por departamento
Para cada departamento, recopile información sobre:
| Pregunta | Qué investigar |
|---|---|
| ¿Qué datos personales se recopilan? | Nombre, RUT, email, datos bancarios, biometría, historia clínica... |
| ¿De quién? | ¿Clientes, colaboradores, visitantes, menores de edad? |
| ¿Cómo se recopilan? | Formularios físicos, sistemas, cookies, integraciones con terceros |
| ¿Para qué finalidad? | ¿Por qué esos datos son necesarios? |
| ¿Dónde se almacenan? | Base de datos, planilla, email, papel, drive en la nube |
| ¿Quién tiene acceso? | Qué cargos, en qué situaciones |
| ¿Se comunican? | ¿A qué proveedores, socios, organismos públicos (SII, AFP, Previred, Registro Civil)? |
| ¿Por cuánto tiempo se conservan? | ¿Plazo definido o indefinido? |
| ¿Cómo se eliminan? | Supresión definitiva, anonimización, descarte físico seguro |
Técnicas de recopilación:
- Cuestionarios digitales enviados a gestores de cada área
- Entrevistas con responsables de proceso
- Revisión de contratos con proveedores (identificar sub-encargados)
- Análisis de sistemas y logs de acceso
- Inventario de activos de TI
Paso 4 — Mapee el ciclo de vida completo
Para cada categoría de dato identificado, documente las cinco fases del ciclo de vida:
1. MOTIVACIÓN → ¿Por qué esos datos son necesarios?
2. RECOPILACIÓN → ¿Cómo y dónde ingresan a la organización?
3. TRATAMIENTO → ¿Cómo se procesan, dónde se almacenan, quién accede?
4. SALIDA → ¿Con quién se comunican externamente?
5. SUPRESIÓN → ¿Cuándo y cómo se eliminan?
Paso 5 — Visualice los flujos
Las representaciones visuales ayudan a identificar riesgos que una planilla no revela.
Diagramas de Flujo de Datos (DFD):
- DFD Lógico: representa qué ocurre (procesos, datos, entidades externas)
- DFD Físico: representa cómo ocurre técnicamente (sistemas, servidores, APIs)
Diagramas Swimlane: Muestran las responsabilidades por departamento en cada etapa del flujo — muy útil para evidenciar quién hace qué y dónde puede haber brechas de responsabilidad.
Paso 6 — Identifique riesgos y brechas
Con el flujo mapeado, evalúe cada punto:
- Datos sin base de licitud: tratamiento que no encuadra en ninguna de las bases de la Ley 21.719
- Principio de proporcionalidad vulnerado: ¿recopila más datos de los que necesita para la finalidad?
- Conservación indefinida: datos mantenidos sin plazo definido ni justificación legal
- Comunicaciones sin contrato: proveedores que reciben datos personales sin contrato de encargado de tratamiento
- Datos en tránsito sin cifrado: transferencias internas o externas desprotegidas
- Datos físicos olvidados: contratos en papel, fichas, archivos impresos sin control de acceso o plazo de descarte
- Sub-encargados no mapeados: herramientas SaaS que reciben datos personales sin que usted lo haya advertido (plataformas de email marketing, ERPs, CRMs en la nube)
Paso 7 — Alimente el RAT
Con el mapeo completo, construya el Registro de Actividades de Tratamiento. Para cada actividad identificada, documente:
| Campo del RAT | Ejemplo |
|---|---|
| Nombre de la actividad | Registro y gestión de colaboradores |
| Finalidad | Gestión de la relación laboral, cumplimiento de obligaciones legales |
| Base de licitud | Ejecución de contrato + Obligación legal (ej.: SII, AFP, Previred) |
| Categorías de datos | Nombre, RUT, datos bancarios, datos de salud (licencias médicas) |
| Titulares | Colaboradores y ex-colaboradores |
| Destinatarios | SII, AFP, Previred, contabilidad tercerizada |
| Transferencia internacional | No |
| Período de conservación | 5 años tras el término del contrato |
| Medidas de seguridad | Acceso restringido a RR.HH., cifrado en tránsito |
Paso 8 — Mantenga el mapeo actualizado
El data flow mapping no es un documento estático. Debe revisarse siempre que:
- Se implemente un nuevo sistema o herramienta
- Se contrate un nuevo proveedor
- Cambie un proceso existente
- Surja una nueva finalidad de tratamiento
- Un incidente revele un flujo no mapeado
Frecuencia recomendada:
- Revisión completa: semestral o anual
- Actualizaciones puntuales: ante cada cambio relevante de proceso o sistema
Cómo se conecta el mapeo con la EIPD
La EIPD (Evaluación de Impacto en la Protección de Datos Personales, prevista en la Ley 21.719) tiene una estructura análoga a la ISO 29134 (Privacy Impact Assessment). La fase 1 de la EIPD es, en la práctica, un data flow mapping profundizado para un tratamiento específico de alto riesgo.
Tratamientos que típicamente requieren EIPD (y por tanto requieren mapeo profundizado):
- Tratamiento masivo de datos sensibles (salud, biometría, origen étnico)
- Decisiones automatizadas con efectos significativos sobre los titulares (Art. 8 bis Ley 21.719)
- Monitoreo sistemático de comportamiento (cámaras, seguimiento en línea)
- Recopilación de datos de niños, niñas y adolescentes
- Uso de tecnologías emergentes (IA, reconocimiento facial)
Errores comunes que comprometen el mapeo
Error 1 — Tratar como proyecto de TI Los datos físicos (contratos en papel, fichas de RR.HH., archivos impresos) existen en todas las organizaciones y representan riesgos reales. Restringir el mapeo a los sistemas digitales genera un cumplimiento ficticio.
Error 2 — Hacer una vez y olvidar Un mapeo de 2025 no refleja las herramientas SaaS adoptadas en 2026, el nuevo socio de datos contratado en enero o la aplicación de gestión de beneficios implementada recientemente.
Error 3 — Ignorar sub-encargados Herramientas como HubSpot, Salesforce, Google Workspace, Slack, Workday, Trello o cualquier SaaS que procese datos personales de sus titulares son sub-encargados — necesitan contrato adecuado y deben aparecer en el mapeo.
Error 4 — Confundir inventario con flujo Saber que "tenemos datos de clientes en el CRM" no revela que esos datos son exportados semanalmente a una planilla de Excel compartida con el equipo de ventas, que los copia en presentaciones de PowerPoint, que quedan en los computadores personales de los vendedores. El flujo revela riesgos que el inventario oculta.
Error 5 — Usar planillas sin control de versiones Las planillas compartidas generan versiones conflictivas, datos desactualizados y ausencia de auditoría. Para organizaciones con más de 30 actividades de tratamiento, la complejidad supera lo que las planillas pueden gestionar con fiabilidad.
Herramientas para el mapeo
| Tipo | Ejemplos | Adecuado para |
|---|---|---|
| Planilla estructurada | Excel, Google Sheets con plantilla | Pymes con hasta 20-30 actividades |
| Plataforma Ley 21.719 | Confidata | Empresas medianas, atención a la Agencia |
| Plataforma global | OneTrust, TrustArc, Securiti.ai | Grandes organizaciones, múltiples legislaciones |
| Herramienta de diagramas | Draw.io, Miro, Lucidchart | Visualización de flujos (complementario) |
Para organizaciones con más de 30 actividades de tratamiento o múltiples departamentos, una plataforma especializada como Confidata automatiza el proceso de discovery, genera el RAT estructurado y emite alertas cuando el mapeo necesita ser revisado.
Conclusión
El data flow mapping es la base técnica de un programa de cumplimiento con la Ley 21.719 consistente. Sin él, no sabe qué datos realmente trata, dónde están los riesgos reales y a quién hay que comunicar cuando algo sale mal.
La buena noticia: no es necesario mapearlo todo de una vez. Comience con un departamento piloto, valide la metodología y expanda progresivamente. Lo importante es comenzar — y mantener el mapeo actualizado.
¿Quiere ayuda para estructurar el mapeo de datos personales de su organización? Confidata guía a su equipo por todo el proceso de data flow mapping con assessments estructurados, generación automática del RAT y alertas de revisión.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.