Risk appetite y risk tolerance en privacidad: cómo definir límites aceptables bajo la Ley 21.719
Toda organización que trata datos personales asume riesgos. La pregunta no es si los riesgos existen — es qué riesgos la organización está dispuesta a correr, en qué proporción y bajo qué condiciones. Esas preguntas tienen nombre técnico: risk appetite (apetito de riesgo) y risk tolerance (tolerancia al riesgo).
Originados en las finanzas y en la gestión de riesgos corporativos, estos conceptos se aplican cada vez más a la privacidad de datos. Las organizaciones con mayor madurez en cumplimiento de la Ley 21.719 no solo mapean y mitigan riesgos — definen explícitamente los límites de lo que aceptan.
Este artículo explica la diferencia entre los dos conceptos, por qué su definición debe venir del directorio y la alta dirección (no del DPD de forma aislada), y cómo estructurarlos en el contexto de la Ley 21.719.
Diferencia entre risk appetite y risk tolerance
Los dos términos se confunden frecuentemente, pero tienen roles distintos en el marco de gestión de riesgos.
Risk appetite (apetito de riesgo)
El risk appetite es la cantidad y el tipo de riesgo que la organización está dispuesta a aceptar en la búsqueda de sus objetivos estratégicos. Es una declaración de la postura de la organización frente al riesgo — antes de cualquier evento específico.
Es una decisión estratégica, a nivel de directorio, que refleja los valores de la organización, su perfil de negocio y su capacidad de absorber pérdidas.
Ejemplos de declaraciones de risk appetite en privacidad:
- "La organización acepta riesgos mínimos de privacidad relacionados con datos de clientes. No toleramos ningún tratamiento de datos sensibles sin base de licitud verificada."
- "La organización acepta riesgos operativos moderados de cumplimiento en sistemas legados, siempre que exista un plan de remediación con plazo definido."
- "La organización no acepta riesgos que resulten en una investigación formal de la APDP por violación de principios fundamentales de la Ley 21.719."
Risk tolerance (tolerancia al riesgo)
La risk tolerance es la variación aceptable en torno al risk appetite — el "corredor" dentro del cual la organización puede operar sin que sea necesaria una escalada. Es una medida más específica y operativa.
Si el risk appetite dice "queremos cero violaciones de datos sensibles", la risk tolerance define cuántas excepciones documentadas y controladas son aceptables en un período determinado antes de requerir acción correctiva.
Analogía práctica:
- Risk appetite: "Queremos llegar a Santiago en 4 horas" (objetivo)
- Risk tolerance: "Aceptamos llegar en hasta 4h30 sin desvío significativo de ruta" (corredor de aceptación)
- Más allá de la risk tolerance: llegar en más de 4h30 = activar plan de contingencia
La distinción importa en la práctica
| Aspecto | Risk Appetite | Risk Tolerance |
|---|---|---|
| Nivel de decisión | Directorio / C-Level | DPD / Gestión media |
| Horizonte temporal | Estratégico (anual) | Operativo (trimestral) |
| Naturaleza | Cualitativo + cuantitativo | Predominantemente cuantitativo |
| Ejemplo en privacidad | "Cero violaciones de datos de niños" | "Máximo 2 incidentes de bajo impacto por trimestre antes de escalar" |
| Documentación | Política de gestión de riesgos | KRIs con límites definidos |
Por qué la definición corresponde al directorio, no al DPD
Un error frecuente en los programas de privacidad es dejar al DPD la decisión sobre qué riesgos son aceptables. El DPD es el experto técnico y regulatorio — pero no tiene autoridad para comprometer la posición de riesgo de la organización.
Definir el risk appetite es decisión del directorio o de la alta dirección porque:
1. Es una decisión estratégica con implicaciones financieras Aceptar riesgos de privacidad puede resultar en multas, acciones judiciales y pérdida de clientes. La decisión de aceptar esos riesgos implica comprometer recursos organizacionales — lo que requiere autorización al más alto nivel.
2. Refleja los valores y la cultura de la organización Una empresa de salud y una empresa de tecnología pueden tener risk appetites muy diferentes para los mismos datos. Esa diferencia refleja posicionamiento estratégico y valores que el directorio debe explicitar.
3. Crea responsabilización clara Cuando el risk appetite es definido y aprobado por el directorio, cualquier violación de los límites tiene una cadena de responsabilización clara. Si el DPD define solo qué es aceptable, la responsabilidad es ambigua.
4. Permite integración con el GRC corporativo Las organizaciones con gestión de riesgos corporativa integrada (ERM — Enterprise Risk Management) necesitan que el risk appetite de privacidad sea consistente con el risk appetite global de la empresa. Eso exige que ambos sean definidos en el mismo nivel de gobernanza.
El papel del DPD: proporcionar insumos especializados para que el directorio tome decisiones informadas, y después operacionalizar las declaraciones de risk appetite en controles y KRIs específicos.
Dimensiones del risk appetite en privacidad bajo la Ley 21.719
El risk appetite de privacidad no es una sola declaración — es un conjunto de posicionamientos para diferentes dimensiones de riesgo.
1. Riesgo regulatorio
¿Cuál es la postura de la organización frente a investigaciones y sanciones de la APDP?
- Tolerancia cero: cualquier riesgo de investigación formal debe eliminarse o mitigarse al máximo, independientemente del costo
- Tolerancia conservadora: la organización acepta riesgos menores (amonestación, procedimientos de bajo impacto) pero no acepta riesgo de multa significativa
- Tolerancia moderada: aceptar riesgos regulatorios que puedan resultar en multas bajas, siempre que el costo de mitigación sea desproporcionalmente mayor
2. Riesgo reputacional
¿Cuánta exposición pública tolera la organización por cuestiones de privacidad?
- Empresas con marcas fuertes orientadas al consumidor final típicamente tienen tolerancia muy baja
- Empresas B2B o industriales pueden tener tolerancia ligeramente mayor (aunque cada vez menos)
3. Riesgo operativo / seguridad
¿Cuántos incidentes de privacidad son aceptables antes de requerir acción correctiva?
- KRIs posibles: número de incidentes de acceso no autorizado por trimestre, porcentaje de sistemas con cifrado implementado, tiempo promedio de detección de incidentes
4. Riesgo de cumplimiento de procesos
¿Qué porcentaje de tratamientos puede tener documentación incompleta sin requerir acción de emergencia?
- KRI posible: porcentaje de tratamientos con base de licitud documentada, porcentaje de encargados con DPA firmado
5. Riesgo estratégico
¿La organización acepta correr riesgos de privacidad para lanzar productos o servicios más rápidamente?
- Algunas organizaciones aceptan lanzar con Privacy by Design incompleto y remediar durante la operación
- Otras exigen cumplimiento completo antes del lanzamiento
- Esta decisión define el risk appetite para innovación vs. cumplimiento
Cómo definir el risk appetite: proceso en 6 etapas
Etapa 1: Mapear las categorías de riesgo relevantes
El DPD o el equipo de privacidad presenta al C-Level las principales categorías de riesgo de la organización, con ejemplos concretos e impactos potenciales estimados.
Etapa 2: Workshop con la alta dirección
Conducir una sesión estructurada con C-Level y directorio para discutir la postura frente a cada categoría. Técnicas de facilitación como "risk scenarios" (presentar escenarios hipotéticos con pérdidas estimadas) ayudan a hacer la discusión concreta.
Etapa 3: Redactar las declaraciones de risk appetite
Para cada categoría, redactar una declaración clara que responda: "¿Cuánto riesgo de [tipo de riesgo] acepta nuestra organización y por qué?"
Las declaraciones deben ser:
- Suficientemente específicas para orientar decisiones
- Suficientemente flexibles para no inmovilizar la operación
- Alineadas con los objetivos estratégicos de la organización
Etapa 4: Aprobar formalmente
Las declaraciones deben ser aprobadas por el directorio o el C-Level en un foro formal (reunión de directorio, comité de riesgos). El acta o resolución formal es el documento de gobernanza que legitima el risk appetite.
Etapa 5: Operacionalizar en KRIs y límites de tolerancia
El DPD transforma las declaraciones del directorio en Key Risk Indicators (KRIs) — métricas monitoreables que indican cuándo la organización se está aproximando o superando el risk appetite.
Ejemplos de KRIs para privacidad:
| KRI | Límite de Tolerancia (ejemplo) | Límite de Appetite (ejemplo) |
|---|---|---|
| % de tratamientos con base de licitud documentada | < 90% activa acción correctiva | < 80% activa escalamiento al directorio |
| N° de encargados sin DPA | > 5 activa acción | > 15 activa revisión urgente |
| Tiempo de atención a solicitudes de titulares (promedio) | > 10 días hábiles activa revisión | > 15 días hábiles activa auditoría |
| N° de incidentes de bajo impacto/trimestre | > 3 activa investigación | > 7 activa revisión de controles |
| N° de tratamientos de datos sensibles sin EIPD | > 2 activa acción inmediata | Ninguno es aceptable |
Etapa 6: Revisar anualmente
El risk appetite debe revisarse al menos anualmente — o cuando ocurra un cambio estratégico significativo (adquisición, nuevo producto, cambio regulatorio importante).
Integrando el risk appetite al framework GRC
Las organizaciones que ya tienen frameworks de gestión de riesgos corporativa (ERM) deben integrar el risk appetite de privacidad al framework existente, sin crear una estructura paralela.
Frameworks de referencia:
- ISO 31000 — norma internacional de gestión de riesgos; proporciona el vocabulario y el proceso de referencia para risk appetite y tolerance
- ISO/IEC 27701 — extensión de privacidad de la ISO 27001; incluye la gestión de riesgos de privacidad como elemento del SGPI
- COSO ERM (Enterprise Risk Management) — framework ampliamente adoptado por empresas a nivel global, que incorpora el risk appetite como elemento central de la gestión de riesgos corporativos
- NIST Privacy Framework — referencia para programas de privacidad; utiliza perfiles organizacionales de riesgo (Current Profile y Target Profile) para orientar decisiones de tratamiento y priorización de controles, siendo compatible con la incorporación de declaraciones de risk appetite
Ejemplos de declaraciones completas de risk appetite en privacidad
A continuación, ejemplos de cómo las declaraciones de risk appetite pueden estructurarse en la práctica:
"La [Organización] adopta una postura de tolerancia mínima frente a riesgos de privacidad que involucren datos sensibles de los titulares. Cualquier tratamiento de datos sobre salud, origen étnico, biometría o datos de niños debe tener base de licitud verificada y documentada antes de ser implementado. No aceptamos riesgos en esta categoría que puedan resultar en una investigación formal de la APDP por incumplimiento de la Ley 21.719."
"La [Organización] adopta una postura de tolerancia moderada frente a riesgos operativos de cumplimiento en sistemas legados. Aceptamos que hasta el 15% de los sistemas legados puedan tener controles de privacidad incompletos, siempre que: (a) exista un plan de remediación aprobado; (b) los riesgos estén documentados y monitoreados; y (c) ningún sistema legado trate datos sensibles sin controles básicos."
"La [Organización] adopta una postura de tolerancia cero frente a transferencias internacionales de datos sin salvaguardas adecuadas. Ningún dato personal de los titulares puede transferirse a un país sin mecanismos de protección adecuados conforme a los requisitos de la Ley 21.719 y sin revisión previa de la asesoría jurídica."
Errores comunes al definir el risk appetite en privacidad
1. Declaraciones demasiado genéricas "No toleramos riesgos de privacidad" — inútil, porque todo tratamiento implica algún riesgo. Las declaraciones deben ser suficientemente específicas para orientar decisiones.
2. Definición sin participación del directorio El DPD define solo qué es aceptable. Sin aprobación formal de la alta dirección, el risk appetite no tiene legitimidad para orientar decisiones que impacten el negocio.
3. Falta de KRIs para monitoreo El risk appetite se declara pero no se operacionaliza en métricas. Sin KRIs, nadie sabe cuándo se está superando el límite.
4. No revisar tras cambios relevantes Una adquisición, un incidente grave o una nueva regulación de la APDP puede volver obsoleto el risk appetite. La revisión debe ser activada por eventos además de la revisión anual.
5. Confundir risk appetite con metas de cumplimiento "Queremos el 100% de cumplimiento en 12 meses" es una meta, no un risk appetite. El risk appetite define qué es aceptable durante el recorrido hacia la meta.
Conclusión: el riesgo como decisión, no como accidente
Las organizaciones que definen formalmente su risk appetite en privacidad dejan de ser reactivas — pasan a gestionar riesgos como una decisión consciente y documentada. Esa es la diferencia entre un programa de cumplimiento maduro y un programa que solo responde a crisis.
Para el DPD, contar con el risk appetite formalmente aprobado por la alta dirección es también una forma de protección profesional: cuando las decisiones de aceptar ciertos riesgos están documentadas y aprobadas al nivel adecuado, el delegado no carga solo con el peso de las consecuencias.
Confidata estructura la gestión de riesgos de privacidad con registros de risk appetite, KRIs monitoreables y trazabilidad de decisiones — creando la documentación de gobernanza que la APDP espera encontrar en organizaciones con programas maduros de cumplimiento con la Ley 21.719.
Artículos relacionados
¿Quiere ir más allá? Conozca Confidata Chile
Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.