¿Tu empresa realmente cumple con la normativa de datos personales… o solo cree que cumple?
En la práctica, muchas organizaciones consideran que están alineadas con la Ley Nº 29733 porque cuentan con algunos contratos, políticas o registros. Sin embargo, cuando se realiza un diagnóstico técnico, suele aparecer una realidad distinta: el cumplimiento existe, pero de forma fragmentada, no estructurada.
Ahí es donde un diagnóstico inicial bien enfocado marca la diferencia.
1.- No es solo revisar documentos
Un diagnóstico serio no se limita a verificar si existen cláusulas o registros. El verdadero análisis está en contrastar:
- cómo fluye realmente la información en la organización,
- qué herramientas tecnológicas se utilizan,
- y si todo ello está alineado con lo declarado ante la autoridad y frente a los titulares de datos.
La brecha entre “lo que se hace” y “lo que se declara” es, muchas veces, el principal riesgo.
2.- Organización interna: el punto débil más común
En empresas con estructuras ágiles o equipos pequeños, es habitual encontrar que la gestión de datos personales:
- no tiene responsables claramente definidos,
- se maneja de forma descentralizada,
- y carece de lineamientos internos formales.
No se trata de crear burocracia, sino de ordenar lo que ya existe: definir roles, establecer reglas mínimas y tener visibilidad sobre los activos de información (incluyendo entornos cloud).
3.- Terceros: el riesgo silencioso
Otro hallazgo frecuente es la participación de terceros (proveedores tecnológicos, servicios en la nube, soporte TI) sin un encuadre claro desde la perspectiva de protección de datos.
Aquí el problema no es solo contractual, sino conceptual:
- ¿Ese proveedor es realmente un “encargado de tratamiento”
- ¿Puede subcontratar?
- ¿Qué pasa si ocurre un incidente de seguridad?
Estas preguntas rara vez están respondidas en los contratos estándar.
4.- El dato como ciclo (no como evento)
Uno de los errores más comunes es analizar el tratamiento de datos de forma aislada. En realidad, debe evaluarse como un ciclo completo:
- Obtención: Cláusulas informativas incompletas o aplicadas de forma inconsistente.
- Finalidad: Desalineación entre lo registrado y lo que realmente hace el negocio.
- Flujos y transferencias: Uso de herramientas como cloud o ERPs sin identificar posibles transferencias internacionales.
- Conservación: Datos almacenados indefinidamente, sin criterios claros.
Cada uno de estos puntos, por separado, parece menor. En conjunto, configuran un riesgo relevante.
5.- Cumplimiento formal vs. cumplimiento real
El registro de bancos de datos suele ser el mejor ejemplo:
- existen registros… pero desactualizados,
- hay bancos que ya no se usan,
- o tratamientos actuales que no están cubiertos.
A esto se suma la falta de procedimientos internos claros, especialmente para atender derechos ARCO, que terminan dependiendo de respuestas ad hoc.
¿Qué debería salir de un diagnóstico?
Un buen diagnóstico no termina en observaciones, sino en un plan de acción claro y aterrizado:
- actualizar y depurar registros,
- alinear finalidades y cláusulas informativas,
- ordenar la relación con terceros,
- y formalizar políticas y procedimientos que reflejen la operación real.
El objetivo no es “cumplir en papel”, sino construir un modelo sostenible.
Reflexión final:
La mayoría de las empresas no parte de cero; el reto es integrar lo existente en un sistema coherente. Ahí es donde un buen diagnóstico deja de ser un requisito y se convierte en una ventaja.
Si este tema es relevante para tu organización o tus clientes, podemos apoyar en la implementación de un modelo de cumplimiento alineado con la Ley Nº 29733 y adaptado a la operación real. Porque el verdadero cumplimiento no es el que se documenta, sino el que se sostiene en el tiempo.
En caso de que se requiera alguna precisión adicional sobre la información contenida en el presente informativo, puede contactar a:
Rolando Lema Hanke
Edgardo Bernal Santos
