NIST Privacy Framework: guía práctica para organizaciones chilenas
Cuando una organización decide estructurar su gestión de privacidad más allá del mínimo legal, necesita elegir una metodología. En el campo de la seguridad de la información, el NIST Cybersecurity Framework se convirtió en referencia mundial. Para privacidad, el mismo NIST — National Institute of Standards and Technology de los Estados Unidos — publicó en enero de 2020 el NIST Privacy Framework (versión 1.0), un instrumento complementario específicamente orientado a la gestión de riesgos de privacidad.
Aunque es un documento norteamericano, el NIST Privacy Framework es agnóstico respecto a la jurisdicción: no fue concebido para ninguna ley específica y puede usarse junto con cualquier regulación de privacidad, incluyendo la Ley 21.719 chilena. Es flexible, basado en riesgo, independiente de tecnología — y está disponible en traducción al español en el sitio del NIST.
Qué es el NIST Privacy Framework
El NIST Privacy Framework v1.0 fue publicado el 16 de enero de 2020 (en abril de 2025 el NIST publicó el borrador público inicial de la versión 1.1, con cambios orientados a la alineación con el Cybersecurity Framework 2.0 y una nueva sección sobre IA y riesgo de privacidad — la versión final se espera para finales de 2025). Su propuesta es proporcionar un lenguaje común y una estructura voluntaria que ayude a las organizaciones a:
- Identificar y comunicar su postura actual de gestión de privacidad
- Definir a dónde quieren llegar (postura objetivo)
- Priorizar acciones para reducir riesgos de privacidad
- Demostrar conformidad de forma más eficaz
El framework se organiza en tres componentes principales: Core (Núcleo), Profiles (Perfiles) y Implementation Tiers (Niveles de implementación).
El Núcleo: 5 funciones, 18 categorías, 100 subcategorías
El Core del NIST Privacy Framework organiza las prácticas de privacidad en cinco funciones, representadas por siglas con el sufijo "-P" (de Privacy):
Identify-P (ID-P) — Identificar
Qué es: Desarrollar el entendimiento organizacional para gestionar los riesgos de privacidad relativos al procesamiento de datos personales.
Categorías incluidas:
- Inventario y mapeo de datos (Data Processing Ecosystem Risk Management): identificar y documentar todos los datos personales procesados, flujos de datos, sistemas y partes involucradas — equivalente al Registro de Actividades de Tratamiento (RAT) de la Ley 21.719, pero en un nivel más detallado
- Gestión de riesgos (Business Environment): comprender la misión, objetivos y contexto organizacional relevantes para la privacidad
En la práctica bajo la Ley 21.719: Corresponde a la elaboración del RAT (Registro de Actividades de Tratamiento), al mapeo de datos personales por sistema y a la identificación de riesgos de privacidad antes de que comiencen nuevos tratamientos.
Govern-P (GV-P) — Gobernar
Qué es: Desarrollar e implementar una estructura organizacional de gobernanza para habilitar una estrategia de privacidad continua.
Categorías incluidas:
- Política organizacional de privacidad documentada y aprobada por la dirección
- Definición de roles y responsabilidades (quién es responsable de qué en la gestión de privacidad)
- Procesos para monitorear el cumplimiento de las políticas internas
- Gestión de riesgos de privacidad integrada a la estrategia del negocio
- Conciencia organizacional sobre privacidad (capacitaciones, comunicación interna)
En la práctica bajo la Ley 21.719: Corresponde a la estructura de gobernanza de privacidad: designación del Encargado de Protección de Datos (EPD) cuando sea obligatorio o conveniente, política de privacidad interna, programa de capacitaciones, integración de la privacidad al proceso de nuevos proyectos (Privacidad por Diseño, principio contemplado en la Ley 21.719).
Control-P (CT-P) — Controlar
Qué es: Desarrollar e implementar actividades para permitir que organizaciones o individuos gestionen datos personales con la granularidad suficiente para apoyar los objetivos de privacidad.
Categorías incluidas:
- Políticas de recopilación y uso mínimo de datos (principio de minimización, Ley 21.719)
- Procesos para atender solicitudes de titulares (derechos ARCO+P)
- Gestión de consentimiento — registro, renovación y revocación
- Controles técnicos para limitar el procesamiento de datos al necesario
En la práctica bajo la Ley 21.719: Corresponde a los mecanismos de atención de derechos de los titulares (acceso, rectificación, cancelación, oposición y portabilidad), gestión de consentimiento, controles de minimización de datos y pseudonimización.
Communicate-P (CM-P) — Comunicar
Qué es: Desarrollar e implementar actividades que permitan a la organización tener un entendimiento suficientemente confiable de las prácticas de privacidad para facilitar el relacionamiento con los titulares de datos.
Categorías incluidas:
- Comunicación de las prácticas de privacidad a los titulares (política de privacidad, avisos de recopilación)
- Notificación sobre cambios en las prácticas de privacidad
- Canal para preguntas y reclamos de los titulares
- Transparencia sobre cómo y por qué se procesan los datos
En la práctica bajo la Ley 21.719: Corresponde a la obligación de transparencia, política de privacidad pública, canal de comunicación del EPD, notificación de incidentes a la Agencia de Protección de Datos Personales (APDP) y a los titulares afectados.
Protect-P (PR-P) — Proteger
Qué es: Desarrollar e implementar salvaguardas técnicas y organizacionales adecuadas para la protección de datos personales.
Categorías incluidas:
- Gestión de identidad y control de acceso
- Concienciación y capacitación en seguridad
- Seguridad de datos (cifrado, tokenización, anonimización)
- Mantenimiento de sistemas de seguridad
- Procesos y procedimientos de protección
- Tecnología de protección (incluyendo Privacy Enhancing Technologies — PETs)
En la práctica bajo la Ley 21.719: Corresponde a las medidas técnicas y organizacionales de seguridad que la ley exige, incluyendo control de acceso, cifrado, seguridad de sistemas, gestión de actualizaciones y planes de respuesta a incidentes.
Perfiles: Actual y Objetivo
Uno de los componentes más prácticos del NIST Privacy Framework son los Perfiles (Profiles). El framework distingue entre:
Perfil Actual (Current Profile): Describe los resultados de privacidad que la organización está alcanzando hoy — dónde realmente está.
Perfil Objetivo (Target Profile): Describe los resultados deseados en función de los objetivos del negocio, el apetito de riesgo, los requisitos legales y las expectativas de las partes interesadas — dónde la organización quiere estar.
La brecha entre los dos perfiles define las prioridades de acción. El ejercicio de crear los dos perfiles es, en sí mismo, valioso: obliga a la organización a ser honesta sobre dónde está y realista sobre a dónde puede llegar.
Cómo usar en la práctica:
- Para cada categoría de las 5 funciones, evalúe si la organización cumple la subcategoría: "Sí / Parcialmente / No / No aplica"
- El conjunto de "Sí" forma el Perfil Actual
- Defina qué subcategorías deberían ser "Sí" en función de los requisitos legales (Ley 21.719) y los objetivos del negocio — ese es el Perfil Objetivo
- La distancia entre ambos indica dónde invertir primero
Niveles de Implementación (Implementation Tiers)
El framework define cuatro niveles que describen el grado de sofisticación de la gestión de privacidad:
| Nivel | Nombre | Descripción resumida |
|---|---|---|
| Tier 1 | Parcial | Prácticas ad hoc, reactivas, sin formalización |
| Tier 2 | Riesgo Informado | Prácticas definidas pero no implementadas uniformemente |
| Tier 3 | Repetible | Prácticas formalizadas, implementadas consistentemente, revisadas |
| Tier 4 | Adaptativo | Prácticas maduras, mejora continua, respuesta proactiva a nuevos riesgos |
Los Tiers no son necesariamente progresivos — una organización puede operar en Tier 3 en algunas funciones y en Tier 1 en otras. El objetivo no es llegar al Tier 4 en todo, sino alcanzar el nivel adecuado al perfil de riesgo de la organización.
NIST Privacy Framework y Ley 21.719: cómo usarlos juntos
El NIST Privacy Framework no reemplaza a la Ley 21.719 — es una herramienta de gestión que ayuda a organizar la conformidad con ella. La correspondencia entre los dos no es perfecta, pero es significativa:
| Función NIST PF | Correspondencia en la Ley 21.719 |
|---|---|
| Identify-P | Registro de Actividades de Tratamiento (RAT), mapeo de datos personales, identificación de riesgos para la EIPD |
| Govern-P | Encargado de Protección de Datos (EPD), gobernanza de privacidad, Privacidad por Diseño |
| Control-P | Derechos de los titulares (ARCO+P), gestión de consentimiento, minimización de datos |
| Communicate-P | Transparencia, política de privacidad, notificación de incidentes a la APDP y titulares |
| Protect-P | Medidas técnicas y organizacionales de seguridad |
Ventaja del uso conjunto: El NIST Privacy Framework opera en un nivel de detalle operacional que la Ley 21.719 no alcanza. La ley dice "adopte medidas adecuadas"; el framework dice qué categorías de prácticas constituyen "medidas adecuadas" — control de acceso, gestión de identidad, cifrado, minimización de datos, evaluación periódica de riesgos, etc.
NIST Privacy Framework vs. NIST Cybersecurity Framework
Una confusión frecuente es entre el NIST Privacy Framework (PF) y el NIST Cybersecurity Framework (CSF), que es más antiguo y más ampliamente adoptado (actualmente en la versión 2.0, de 2024).
Diferencias principales:
| Aspecto | NIST CSF | NIST Privacy Framework |
|---|---|---|
| Foco | Riesgos de seguridad (incidentes, fallas) | Riesgos de privacidad (procesamiento problemático de datos) |
| Titulares afectados | Organización (daño a la seguridad) | Individuos (daños a la privacidad) |
| Funciones | Identify, Protect, Detect, Respond, Recover | Identify-P, Govern-P, Control-P, Communicate-P, Protect-P |
| Origen de los riesgos | Agentes externos maliciosos + fallas internas | Procesamiento legítimo de datos con consecuencias adversas |
Los dos son complementarios: Muchos riesgos de privacidad derivan de fallas de seguridad (lo que aborda el CSF), pero muchos otros derivan del procesamiento normal de datos personales — compartición, perfilamiento, retención excesiva — donde no hay "atacante" externo, solo el propio responsable del tratamiento.
Por dónde comenzar: implementación en 4 etapas
Etapa 1 — Contexto y priorización
- Comprender el contexto de la organización: sector, tipos de datos tratados, obligaciones legales específicas
- Identificar los objetivos de privacidad prioritarios con base en el apetito de riesgo de la dirección
Etapa 2 — Perfil Actual
- Usar las subcategorías de las 5 funciones para mapear lo que ya existe
- Ser honesto: "parcialmente" no cuenta como "sí"
Etapa 3 — Perfil Objetivo
- Definir qué exigen la Ley 21.719 y los objetivos del negocio
- Identificar brechas prioritarias (los ítems legalmente obligatorios que faltan son primeros)
Etapa 4 — Plan de acción
- Para cada brecha prioritaria, definir acción, responsable y plazo
- Revisión periódica del perfil (al menos anual o después de un cambio significativo del negocio)
Checklist inicial de adopción del NIST Privacy Framework
- ¿La dirección está informada sobre el framework y comprometida con la iniciativa?
- ¿El EPD o equipo de privacidad está capacitado para conducir el mapeo de perfil?
- ¿El Registro de Actividades de Tratamiento (RAT) está disponible como base para Identify-P?
- ¿El Perfil Actual está documentado en las 5 funciones?
- ¿El Perfil Objetivo está definido en función de los requisitos de la Ley 21.719 y los objetivos organizacionales?
- ¿Existe un plan de acción con brechas priorizadas, responsables y plazos?
- ¿Está programada una revisión periódica del perfil?
Conclusión
El NIST Privacy Framework no es un sustituto de la Ley 21.719 ni un requisito legal en Chile. Es una herramienta voluntaria que ayuda a las organizaciones a estructurar su gestión de privacidad de forma sistemática, basada en riesgo y comparable internacionalmente. Para EPDs y equipos de compliance que buscan ir más allá de la conformidad mínima, el framework ofrece un lenguaje común, categorías de prácticas bien definidas y un proceso claro de identificación de brechas.
La versión en español, disponible en el sitio del NIST, elimina la barrera idiomática y facilita la adopción por organizaciones chilenas — haciendo del NIST Privacy Framework uno de los recursos más accesibles para quienes desean profesionalizar la gestión de privacidad más allá de lo que la Ley 21.719 exige explícitamente. Con el plazo de adecuación fijado para el 1 de diciembre de 2026, el momento de estructurar el programa es ahora.
Confidata estructura su evaluación de madurez en privacidad siguiendo las funciones del NIST Privacy Framework, permitiendo que las organizaciones identifiquen brechas, monitoreen el progreso y demuestren madurez creciente en la protección de datos personales.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.