top of page
Buscar

Inventario de datos personales: por qué una empresa no puede proteger lo que no sabe que tiene

  • Foto del escritor: Roberto Osorio
    Roberto Osorio
  • hace 15 horas
  • 6 min de lectura

Una empresa puede invertir en seguridad, actualizar políticas y capacitar a sus equipos. Puede tener contratos revisados, formularios mejorados y reuniones internas sobre la Ley 21.719. Todo eso ayuda, pero hay una pregunta básica que sigue siendo difícil de responder en muchas organizaciones: qué datos personales tenemos realmente.


La respuesta suele partir por los sistemas conocidos. El CRM, el ERP, la plataforma de mailing, el sitio web, el sistema de recursos humanos o la base de clientes. Ese primer listado entrega una sensación de orden, pero rara vez muestra la imagen completa. Los datos personales también viven en planillas, correos, carpetas compartidas, respaldos, formularios antiguos, reportes exportados, integraciones con proveedores y herramientas que se conectaron hace años.


Un inventario de datos personales sirve para mirar esa realidad con más precisión. Su objetivo no es llenar una planilla por cumplir. Su objetivo es entender qué información trata la empresa, dónde está, para qué se usa, quién la necesita y qué decisiones debería tomar para reducir exposición, mejorar control y responder mejor frente a solicitudes de las personas.


Inventario de datos personales en empresas | Datactil | Chile

El inventario aparece antes del cumplimiento demostrable


Antes de hablar de trazabilidad, derechos del titular, accesos o eliminación de datos, una empresa necesita saber qué información tiene bajo su control. Esa base parece obvia, pero en la práctica suele estar fragmentada entre áreas.


Marketing conoce los formularios y campañas. Ventas conoce el CRM. Operaciones recuerda las planillas. TI sabe qué sistemas están activos. Recursos Humanos maneja otra capa de información. Legal entiende los documentos, contratos y obligaciones. El inventario permite juntar esas piezas y construir una visión común.


Este trabajo se conecta directamente con el artículo sobre cómo demostrar cumplimiento de la Ley 21.719 sin quedarse solo en documentos. Para demostrar cumplimiento, primero hay que tener claridad. Sin inventario, cualquier respuesta queda incompleta.


Inventario de datos y RAT no son lo mismo


El inventario de datos personales y el Registro de Actividades de Tratamiento están relacionados, pero no cumplen la misma función. El inventario responde qué datos existen, dónde están y en qué sistemas o repositorios aparecen. El RAT mira las actividades donde esos datos se tratan, la finalidad, los responsables, los proveedores, la conservación, los accesos y las medidas asociadas.


Una empresa puede partir por el inventario para descubrir su realidad. Después puede usar esa información para construir un RAT más útil. Si el RAT se levanta sin inventario, corre el riesgo de quedar demasiado formal. Si el inventario se hace sin mirar actividades, puede terminar como una lista sin criterio.


Por eso ambos trabajos deberían conversar. El inventario muestra las piezas. El RAT muestra cómo esas piezas se usan dentro de la operación. Ese vínculo lo desarrollamos en el post sobre Registro de Actividades de Tratamiento y Ley 21.719.


Dónde suelen aparecer datos que la empresa no considera


Los datos personales no siempre están en los sistemas oficiales. Muchas veces están en lugares creados para resolver una urgencia, acelerar una campaña o facilitar una coordinación interna. Esos espacios pueden ser útiles en el momento, pero con el tiempo se transforman en zonas ciegas.


Una planilla con inscritos a un evento puede seguir guardada meses después. Un formulario de campaña puede quedar activo sin revisión. Una exportación del CRM puede circular por correo. Un proveedor puede conservar una base que ya no se usa. Un equipo puede mantener un respaldo local para “tenerlo a mano”. Ninguna de estas situaciones tiene que nacer de una mala práctica deliberada. Muchas aparecen porque la operación siguió avanzando y nadie volvió a mirar el flujo completo.


El inventario ayuda a detectar esos puntos. No para buscar culpables, sino para recuperar visibilidad. Una empresa que sabe dónde están sus datos puede tomar mejores decisiones sobre accesos, conservación, eliminación y seguridad.



Qué debería incluir un inventario de datos personales


Un inventario útil no necesita partir con una estructura excesivamente compleja. Necesita capturar la información suficiente para que la empresa pueda decidir. Lo mínimo debería incluir el tipo de dato personal, el sistema o repositorio donde vive, el área que lo usa, la finalidad, la fuente de origen, los usuarios con acceso, los proveedores involucrados, el plazo de conservación y la relación con solicitudes de titulares.


Más que una lista larga, el inventario debería permitir preguntas simples. ¿Este dato sigue siendo necesario? ¿Quién lo usa? ¿Se podría operar con menos información? ¿Está duplicado? ¿Existe en un sistema que ya nadie mantiene? ¿Hay datos sensibles mezclados con datos comerciales? ¿Se puede eliminar si corresponde?


Cuando esas respuestas aparecen, el inventario deja de ser un documento administrativo y se transforma en una herramienta de control.


Formularios y campañas: el punto de entrada más visible


En empresas que usan marketing digital, activaciones, formularios web, campañas comerciales o clubes de beneficios, una parte importante del inventario debería partir por la captura. Ahí es donde el dato nace.


Un formulario puede pedir nombre, correo, teléfono, RUT, comuna, fecha de nacimiento, preferencias de consumo o información adicional que después se usa para segmentar, contactar o entregar beneficios. Cada campo debería tener una razón. Si no la tiene, conviene revisar si realmente debe seguir ahí.


Este punto se conecta con el artículo sobre formularios, leads y bases de datos frente a la Ley 21.719 y con el contenido sobre documento de aceptación de uso de datos. El inventario permite revisar si lo que se pide en el formulario coincide con la finalidad declarada y con el uso real que la empresa hace después.


Accesos: inventariar datos obliga a mirar permisos


Cuando una empresa identifica dónde están sus datos personales, aparece una segunda pregunta: quién puede verlos. Ese punto suele abrir conversaciones incómodas, porque muchas organizaciones descubren accesos heredados, usuarios antiguos, permisos amplios o equipos completos con visibilidad sobre información que no necesitan para trabajar.


El inventario no debería quedarse en la ubicación del dato. Debería ayudar a cruzar información con permisos y roles. Si una base contiene datos personales relevantes, la empresa debería poder explicar por qué ciertas personas acceden y por qué otras no.


Ese cruce es especialmente importante para complementar el trabajo sobre control de acceso a datos personales dentro de una empresa. El inventario muestra dónde está la información. El control de acceso define quién debería poder verla.


Conservación: el dato que se queda más tiempo del necesario


Una de las preguntas más útiles de un inventario es cuánto tiempo debería conservarse cada dato. Muchas empresas no tienen una respuesta clara porque nunca tuvieron que definirla. Guardar todo parecía cómodo, barato y seguro. Con el tiempo, esa comodidad se transforma en exposición.


No todos los datos deberían permanecer disponibles por el mismo tiempo. Algunos se necesitan para entregar un servicio. Otros para cumplir obligaciones contractuales o legales. Otros pierden sentido cuando termina una campaña, una relación comercial o una solicitud puntual.


El inventario permite separar esos escenarios. Ayuda a identificar información que sigue viva por costumbre y no por necesidad. Ese trabajo se conecta con el contenido sobre qué pasa si un cliente pide eliminar sus datos, porque una empresa solo puede eliminar bien cuando sabe dónde existe la información y por qué se mantiene.


El inventario como punto de partida para decisiones técnicas


Una vez que la empresa entiende qué datos tiene, puede tomar mejores decisiones técnicas. Algunas se resuelven con orden operativo: cerrar formularios antiguos, restringir accesos, eliminar duplicados, actualizar documentos o revisar proveedores. Otras requieren integración, automatización o arquitectura.


En organizaciones con muchos sistemas, alto volumen de clientes o múltiples flujos comerciales, el inventario puede mostrar que ciertos datos circulan más de lo necesario. En esos casos, vale la pena evaluar estrategias como seudonimización, tokenización, automatización de solicitudes, control granular de accesos o bóveda de datos.


Ese camino conecta con el artículo sobre tokenización de datos en Chile. La pregunta de fondo no es solo cómo proteger mejor el dato, sino cuántos sistemas necesitan verlo realmente.


Cómo empezar sin paralizar a la empresa


Un inventario completo puede sonar grande. No tiene que hacerse todo de una vez. Una forma razonable de partir es elegir áreas o flujos de mayor exposición: clientes, formularios web, marketing, recursos humanos, proveedores, soporte, ventas o clubes de beneficios.


El trabajo inicial puede enfocarse en responder cinco preguntas por cada flujo: qué datos se recogen, dónde quedan, quién los usa, para qué se usan y cuánto tiempo deberían conservarse. Con eso ya aparece una primera radiografía útil.


Después se puede profundizar. Agregar proveedores, accesos, medidas de seguridad, solicitudes de titulares, duplicidades, respaldos y evidencias. La madurez llega por capas. Lo importante es empezar por una versión que refleje la operación real.


Una señal de madurez


Una empresa madura en datos no es la que dice tener todo controlado. Es la que puede mostrar cómo llegó a esa conclusión. El inventario ayuda a construir esa capacidad.


Permite conversar con más precisión entre áreas. Facilita priorizar cambios. Reduce improvisación. Mejora la respuesta frente a solicitudes. Ordena la relación con proveedores. Entrega una base más sólida para el RAT. Abre espacio para decisiones técnicas mejor fundadas.


La Ley 21.719 hace más visible esta necesidad, pero el valor del inventario va más allá del cumplimiento. Una empresa que conoce sus datos trabaja con más claridad.


Evalúa tu proyecto con Datactil


En Datactil ayudamos a empresas a mirar sus datos desde la operación real. Revisamos formularios, CRM, planillas, accesos, proveedores, automatizaciones, bases de clientes, integraciones y flujos de tratamiento para transformar esa información en un plan concreto.


Si tu empresa necesita construir un inventario de datos personales o conectar ese trabajo con su Registro de Actividades de Tratamiento, puedes partir aquí:


Comentarios

bottom of page