Gestión de Riesgos13 min de lectura

Gestión de riesgos de privacidad: ISO 31000, ISO 27701 y Ley 21.719

Equipo Confidata·
Compartir

La Ley 21.719 exige que las organizaciones implementen medidas de seguridad técnicas y organizativas apropiadas para proteger los datos personales, y realicen una Evaluación de Impacto en la Protección de Datos (EIPD) cuando el tratamiento pueda generar un alto riesgo para los derechos y libertades de los titulares. Pero la ley no define cómo identificar, evaluar y tratar esos riesgos.

Llenar ese vacío es la función de las normas internacionales de gestión de riesgos — en particular la ISO 31000:2018 (gestión de riesgos genérica) y la ISO/IEC 27701:2025 (sistema de gestión de privacidad de datos personales). Adoptar estas normas como metodología no es obligatorio, pero proporciona una estructura reconocida internacionalmente que demuestra madurez y diligencia en la protección de datos.

ISO 31000:2018: el framework de gestión de riesgos

La ISO 31000:2018 — "Gestión de riesgos: Directrices" — es la norma internacional de referencia para la gestión de riesgos. No es certificable (no existe auditoría que emite certificado ISO 31000), pero proporciona principios, estructura y proceso que pueden aplicarse a cualquier tipo de riesgo, incluyendo los riesgos de privacidad.

Principios

La ISO 31000:2018 establece que la gestión de riesgos debe ser:

  • Integrada a la gobernanza y las operaciones, no paralela a ellas
  • Estructurada y exhaustiva — proceso sistemático que produce resultados comparables y confiables
  • Personalizada al contexto externo e interno de la organización
  • Inclusiva — involucra a las partes interesadas cuyo conocimiento y perspectivas son relevantes
  • Dinámica — los riesgos evolucionan, y la gestión debe anticipar, detectar y responder a los cambios
  • Basada en la mejor información disponible — datos históricos, previsiones, perspectivas de expertos
  • Con factores humanos y culturales en consideración — el comportamiento humano es factor central en muchos riesgos de privacidad
  • Orientada a la mejora continua

Estructura

La estructura de la ISO 31000 describe cómo la gestión de riesgos se integra a la organización:

  1. Liderazgo y compromiso — La alta dirección debe demostrar compromiso con la gestión de riesgos
  2. Integración — La gestión de riesgos debe ser parte de los procesos organizacionales, no una actividad separada
  3. Concepción — Comprender el contexto (interno y externo), definir el alcance, política de riesgos y objetivos
  4. Implementación — Ejecutar el proceso de gestión de riesgos
  5. Evaluación — Medir la eficacia de la estructura
  6. Mejora — Adaptación continua basada en los resultados

Proceso

El proceso de gestión de riesgos de la ISO 31000 tiene cuatro etapas:

1. Comunicación y consulta: Involucrar a las partes interesadas relevantes a lo largo de todo el proceso.

2. Evaluación de riesgos:

  • Identificación de riesgos: ¿Qué puede ocurrir, cuándo, dónde, cómo, por qué?
  • Análisis de riesgos: ¿Cuál es la probabilidad? ¿Cuál es el impacto? ¿Qué controles existen?
  • Evaluación de riesgos: ¿Son aceptables los riesgos? ¿Cuáles requieren tratamiento?

3. Tratamiento de riesgos: Cuatro opciones — evitar, reducir (mitigar), transferir (compartir) o aceptar.

4. Monitoreo y revisión: Verificar periódicamente si los riesgos han cambiado y si los controles son efectivos.

Riesgos de privacidad: qué evaluar

Aplicar el proceso de la ISO 31000 a la privacidad exige identificar primero qué constituye un riesgo de privacidad. Los principales tipos:

Riesgos de acceso indebido:

  • Acceso no autorizado a datos por colaboradores internos (ausencia de control de acceso granular)
  • Intrusión externa (ataque cibernético, ransomware)
  • Compartición accidental (correo enviado al destinatario equivocado, configuración incorrecta de base de datos)

Riesgos de uso inadecuado:

  • Datos usados para finalidad diferente a la declarada (desvío de finalidad)
  • Datos compartidos con terceros sin base legal adecuada
  • Retención de datos más allá del plazo necesario

Riesgos de procesos:

  • Ausencia de base legal para el tratamiento (riesgo de nulidad y sanción)
  • Incapacidad de atender solicitudes de titulares dentro de los plazos
  • Fallo en notificar incidentes sin dilaciones indebidas a la APDP (Art. 14 sexies)

Riesgos de terceros:

  • Encargado con prácticas de seguridad inadecuadas (sin contrato de tratamiento o con cláusulas ineficaces)
  • Proveedor de TI con acceso amplio a datos personales sin control adecuado
  • Transferencia internacional sin mecanismo adecuado

Riesgos reputacionales:

  • Filtración que se hace pública
  • Investigación o sanción de la APDP
  • Reclamación de titulares que se convierte en noticia

Impacto en los titulares: la dimensión específica de la privacidad

La evaluación de riesgos de privacidad exige una dimensión adicional respecto de la evaluación de riesgos convencional: el impacto en los titulares de los datos, no solo en la organización.

Una filtración de datos puede tener impacto bajo para la organización (costo operacional reducido, sin responsabilidad legal aparente) e impacto alto para los titulares (exposición de datos de salud, posibilidad de discriminación, daño patrimonial). La evaluación de riesgos de privacidad debe considerar ambas perspectivas.

Factores de impacto específicos para los titulares:

  • Sensibilidad de los datos: Datos de salud, origen racial, orientación sexual, datos biométricos, datos de menores — mayor impacto potencial
  • Volumen de titulares afectados: Un incidente que afecta a 1 millón de personas tiene impacto social diferente al que afecta a 10
  • Tipo de daño: Daño patrimonial directo (fraude financiero), daño a la reputación, discriminación, impacto psicológico, riesgo a la seguridad física
  • Reversibilidad: Los datos publicados en internet son prácticamente irreversibles; un correo enviado al destinatario equivocado puede contenerse
  • Vulnerabilidad de los titulares: Menores de 14 años, personas en situación de vulnerabilidad económica, pacientes, víctimas de violencia — grupos que sufren impacto desproporcionado ante el mismo incidente

ISO/IEC 27701:2025: sistema de gestión de privacidad

La ISO/IEC 27701:2025 es la norma internacional específica para sistemas de gestión de información de privacidad (SGIP — Sistema de Gestión de Información de Privacidad). En octubre de 2025, la norma fue actualizada de la versión 2019 — que era una extensión de la ISO 27001 — a una norma standalone, que puede implementarse y certificarse independientemente de la ISO 27001.

Este cambio es significativo: las organizaciones que no tienen certificación ISO 27001 ahora pueden implementar y certificar un sistema de gestión de privacidad sin necesidad de certificar toda la gestión de seguridad de la información primero.

Lo que cubre la ISO/IEC 27701:2025:

  • Requisitos para un Sistema de Gestión de Información de Privacidad (SGIP)
  • Controles específicos para responsables de datos (mapeo con bases legales, derechos de titulares)
  • Controles específicos para encargados de datos (obligaciones del encargado, instrucciones del responsable)
  • Orientaciones de implementación mapeadas con el GDPR europeo — y, por extensión, aplicables a la Ley 21.719 chilena, que tiene estructura similar

Relación con la ISO 31000: La ISO 27701 exige evaluación de riesgos de privacidad como parte del ciclo PDCA (Planificar-Ejecutar-Verificar-Actuar) del sistema de gestión. La ISO 31000 proporciona la metodología para esa evaluación. Las dos normas se complementan.

EIPD: la evaluación de impacto exigida por la Ley 21.719

La Evaluación de Impacto en la Protección de Datos (EIPD) es el instrumento chileno correspondiente al DPIA europeo (Data Protection Impact Assessment). El artículo 15 ter de la Ley 21.719 la exige cuando el tratamiento pueda generar un alto riesgo para los derechos y libertades de los titulares.

Los tratamientos que generalmente demandan EIPD incluyen:

  • Evaluación sistemática y exhaustiva basada en tratamiento automatizado o perfilamiento
  • Tratamiento masivo o a gran escala de datos personales
  • Monitoreo sistemático de espacios de acceso público
  • Tratamiento de datos sensibles con dispensa de consentimiento
  • Tratamiento de datos de menores de 14 años a escala

La EIPD como producto de la gestión de riesgos: La mejor forma de elaborar una EIPD es usando el proceso de evaluación de riesgos de la ISO 31000 como metodología — identificar los riesgos específicos del tratamiento en cuestión, analizarlos con base en la probabilidad e impacto, evaluar si son aceptables y definir medidas de mitigación. El resultado documentado es la EIPD.

Contenido mínimo de la EIPD:

  • Descripción del tratamiento (finalidad, datos recopilados, destinatarios, plazos de retención)
  • Evaluación de la necesidad y proporcionalidad del tratamiento
  • Identificación y evaluación de los riesgos para los derechos de los titulares
  • Medidas de mitigación adoptadas y riesgo residual aceptable

Consulta previa a la APDP: Si la EIPD identifica riesgos altos que no pueden mitigarse adecuadamente, la Ley 21.719 establece que el responsable debe consultar previamente a la APDP antes de iniciar el tratamiento.

Privacy by Design: prevención antes del incidente

La Ley 21.719 introduce el concepto de seguridad desde el diseño (Privacy by Design): las medidas de protección deben observarse desde la fase de concepción del producto o servicio. La ISO 31000 aplicada a la privacidad operacionaliza este concepto: la evaluación de riesgos debe ocurrir antes de que un nuevo sistema o proceso entre en producción.

Integrar la evaluación de riesgos de privacidad al ciclo de desarrollo significa:

  • Incluir revisión de privacidad en el proceso de aprobación de nuevos proyectos de TI
  • Exigir que los proveedores de sistemas respondan cuestionarios de privacidad antes de la contratación
  • Elaborar EIPD para sistemas nuevos antes del lanzamiento, no después
  • Revisar la evaluación cuando haya cambios significativos en el tratamiento

Cómo comenzar: madurez en etapas

No toda organización necesita implementar la ISO 31000 o la ISO 27701 de una vez. El enfoque en madurez progresiva es más realista:

Nivel 1 — Cumplimiento básico:

  • RAT completo (inventario de las actividades de tratamiento)
  • Identificación de los tratamientos de alto riesgo que exigen EIPD
  • Controles básicos de seguridad documentados

Nivel 2 — Gestión de riesgos estructurada:

  • Metodología de evaluación de riesgos definida (puede seguir ISO 31000 sin certificación formal)
  • Registro de riesgos de privacidad actualizado periódicamente
  • EIPD para tratamientos críticos elaborada y revisada

Nivel 3 — Sistema de gestión:

  • SGIP estructurado conforme a ISO 27701:2025
  • Evaluación de riesgos integrada al ciclo de desarrollo
  • Monitoreo continuo y revisión periódica (ciclo PDCA)

Nivel 4 — Certificación:

  • Auditoría externa por organismo de certificación
  • Certificación ISO 27701:2025

Checklist de madurez en gestión de riesgos de privacidad

Identificación:

  • ¿Inventario de actividades de tratamiento (RAT) completo?
  • ¿Tratamientos de alto riesgo identificados (salud, biometría, menores, vigilancia, perfilamiento)?
  • ¿EIPD elaborada para todos los tratamientos de alto riesgo antes del inicio?

Análisis y evaluación:

  • ¿Metodología de evaluación de riesgos definida (probabilidad × impacto)?
  • ¿Factores de impacto en los titulares incluidos en la evaluación (tipo de dato, vulnerabilidad, reversibilidad)?
  • ¿Registro de riesgos documentado y actualizado periódicamente?

Tratamiento:

  • ¿Controles de mitigación documentados para cada riesgo relevante?
  • ¿Riesgos residuales evaluados y aprobados por la dirección?
  • ¿Privacy by Design integrado al proceso de nuevos proyectos y sistemas?

Monitoreo:

  • ¿Revisión periódica de la evaluación de riesgos (al menos anual o tras cambio significativo)?
  • ¿Incidentes registrados y analizados para ajustar la evaluación de riesgos?

Conclusión

La gestión de riesgos de privacidad no es un lujo de las grandes organizaciones — es el mecanismo por el cual cualquier responsable de datos demuestra que tomó medidas proporcionales para proteger los datos que trata. La Ley 21.719 exige medidas adecuadas y evaluación de impacto para tratamientos de riesgo; la ISO 31000 y la ISO/IEC 27701:2025 proporcionan la metodología para implementar eso de forma estructurada.

La inversión en gestión de riesgos de privacidad paga doble dividendo: reduce la probabilidad de incidentes costosos y demuestra a la APDP y a los titulares que la organización trata la protección de datos como prioridad real, no como formalidad.

Confidata incluye módulo de gestión de riesgos con registro de riesgos de privacidad, vínculo entre riesgos y actividades de tratamiento en el RAT, y soporte para la elaboración de EIPD para tratamientos de alto riesgo — siguiendo la estructura de la ISO 31000 adaptada a la Ley 21.719.

Compartir
#gestión riesgos privacidad#ISO 31000#ISO 27701#EIPD#evaluación riesgos datos personales#Privacy by Design#framework privacidad

Artículos relacionados

EIPD para Hospitales y Clínicas: Guía Práctica con ModeloGestión de Riesgos · 15 minNIST Privacy Framework: guía práctica para organizaciones chilenasGestión de Riesgos · 12 minCómo crear una matriz de riesgos de privacidadGestión de Riesgos · 12 minDue diligence de privacidad en proveedores: checklist con 25 ítems esencialesGestión de Riesgos · 12 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista