Departamento TI
Compliance

Cómo elaborar una evaluación de impacto de privacidad (DPIA) en Chile

juanhernandez@preyhq.com
Juan H.
Jan 6, 2026
0 minutos de lectura
Cómo elaborar una evaluación de impacto de privacidad (DPIA) en Chile
Tabla de Contenidos
Heading H2
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

Cómo elaborar una Evaluación de Impacto de Privacidad (EIPD o PIA)

Qué es una Evaluación de Impacto de Privacidad y por qué importa en Chile

Una Evaluación de Impacto de Privacidad de Datos (EIPD o DPIA por sus siglas en ingles) es un ejercicio práctico para entender cómo un tratamiento de datos personales puede afectar a las personas y qué tan bien estás preparado para protegerlas. No es solo un documento legal: es una herramienta de gestión que cruza negocio, TI y cumplimiento. En Chile, con la Ley 21.719, la EIPD pasa de ser “buena práctica” a una pieza clave para demostrar responsabilidad, anticipar riesgos reales y evitar problemas antes de que ocurran.

EIPD: conceptos clave

Una EIPD (Evaluación de Impacto en Protección de Datos) es una evaluación preventiva que te ayuda a detectar riesgos para la privacidad antes de que un tratamiento de datos empiece —o cambie—. Su foco está en las personas, no solo en los sistemas. Está directamente ligada a la privacidad desde el diseño y por defecto, porque obliga a pensar primero en minimizar datos, limitar usos y aplicar controles desde el inicio.

El rol del EIPD en la Ley 21.719

En la Ley 21.719, la EIPD no vive aislada: se conecta con varias obligaciones clave. Alimenta la definición de medidas técnicas y organizativas, ayuda a prepararse para la notificación de brechas de seguridad, y refuerza el cumplimiento de derechos de los titulares. En la práctica, es el punto donde cumplimiento legal, seguridad y operación se alinean.

Marco legal chileno: cuándo la evaluación de impacto es obligatoria

En Chile, la Ley 21.719 establece que las organizaciones deben realizar una Evaluación de Impacto en Protección de Datos (EIPD ) cuando un tratamiento pueda representar un alto riesgo para los derechos de las personas. Esto no es opcional: si el proyecto calza con ciertos criterios, la evaluación debe hacerse antes de empezar. No se trata de cumplir por cumplir, sino de anticipar y controlar.

Artículo 15 ter de la Ley 21.719: alto riesgo y obligatoriedad

La ley dice, en simple, que si vas a hacer algo con datos personales que podría afectar seriamente a las personas —por su escala, tecnología, sensibilidad o método—, debes hacer una EIPD antes de comenzar el tratamiento. No es algo que se deja para el final ni solo para proyectos gigantes.

Esto es lo que exige el artículo 15 ter:

  • La EIPD es obligatoria antes de iniciar un tratamiento de alto riesgo.

Supuestos típicos de alto riesgo

Los tratamientos que representan un alto riesgo para los derechos de los titulares suelen involucrar procesos masivos o automatizados, como el análisis de perfiles o el scoring. También incluyen el manejo de datos sensibles o el monitoreo constante de personas, como en el caso de videovigilancia o geolocalización

Esta es la lista según la ley de los tratamientos riesgosos:

  • Evaluaciones sistemáticas y automatizadas que generen perfiles o decisiones con efectos jurídicos.
  • Tratamientos masivos o a gran escala de datos personales.
  • Monitoreo u observación sistemática en espacios públicos.
  • Tratamiento de datos sensibles o especialmente protegidos (como salud o biometría), cuando se exceptúe el consentimiento.

Si el riesgo es alto incluso después de hacer la EIPD, el responsable puede consultar a la Agencia para recibir recomendaciones. Además, la Agencia publicará:

  • Una lista de operaciones que requieren o no EIPD.
  • Criterios mínimos para elaborarla (finalidad, necesidad, proporcionalidad, riesgos, mitigación).

¿Cuándo hacer una EIPD aunque la ley no la exija expresamente?

Aunque la ley no lo pida, hacer una EIPD proactiva puede ser una excelente práctica. Al hacerlo, no solo se reducen riesgos de sanciones, sino que se puede generar evidencia de diligencia ante posibles auditorías. Esta actitud de "over-compliance" muestra que la empresa se preocupa por la privacidad de manera integral, no solo cuando está obligada.

Fase 1: preparación y definición del alcance de la EIPD

Esta fase marca el tono de toda la EIPD. Aquí decides qué se va a evaluar y por qué, evitando análisis genéricos que no sirven para tomar decisiones. Mientras más claro sea el alcance desde el inicio, más útil será el resultado. La idea es alinear expectativas entre legal, TI y negocio antes de entrar en detalles técnicos.

  • Identificar el proyecto o tratamiento a evaluar: Define si se trata de un sistema nuevo, un cambio relevante (por ejemplo, nueva tecnología o proveedor) o una ampliación en el uso de datos ya existentes. Esto ayuda a dimensionar el esfuerzo y el nivel de riesgo esperado.
  • Definir objetivos y stakeholders: Establece qué busca la EIPD y quiénes deben participar: DPO o encargado de datos, TI, seguridad y el área de negocio dueña del proceso. Sin estas miradas, la evaluación queda incompleta.
  • Alinear con el comité de privacidad y gobernanza de datos: Coordina la EIPD con el comité para asegurar coherencia con políticas, prioridades y decisiones previas, y para facilitar la aprobación posterior.

Fase 2: descripción del tratamiento y mapa de datos

Aquí se baja a tierra el tratamiento de datos. El objetivo es entender realmente qué datos se usan, cómo se mueven y dónde están, sin suposiciones. Este mapa es la base para identificar riesgos reales y no solo teóricos.

  • Describir el tratamiento: Documenta con claridad las finalidades, los tipos de datos tratados, las categorías de titulares (clientes, empleados, estudiantes, etc.) y las bases legales que justifican el tratamiento. Si algo no se puede explicar fácil, probablemente no está bien definido.
  • Mapear el ciclo de vida de los datos: Traza el recorrido completo del dato: recolección → almacenamiento → uso → transferencia → retención → eliminación. Identifica también a los actores involucrados: responsable del tratamiento, encargados y terceros que acceden o procesan información.
  • Identificar activos y soportes: Lista las bases de datos, aplicaciones e integraciones donde viven los datos, y no te olvides de los dispositivos: laptops, móviles, tablets o equipos compartidos. Tener inventario y control sobre estos endpoints —por ejemplo, con herramientas como Prey— es clave para que la EIPD no se quede solo en el papel.

Fase 3: análisis de necesidad y proporcionalidad

En esta fase toca hacerse las preguntas incómodas. No todo dato que “sería útil” es realmente necesario. El objetivo es verificar que el tratamiento sea proporcionado a su finalidad y que no estés recolectando, usando o guardando información de más. Este análisis suele revelar excesos heredados y riesgos fáciles de reducir.

  • ¿Es necesario tratar todos estos datos?: Aplica los principios de minimización y limitación de finalidad: qué datos son indispensables, cuáles podrían eliminarse o anonimizarse, y si el uso actual coincide con el propósito original. Si no puedes justificar un dato, probablemente sobra.
  • Medidas ya existentes: Revisa qué controles ya tienes: accesos, perfiles de usuario, cifrado, plazos de retención, borrado, y políticas internas. Aquí se detectan gaps evidentes, como controles definidos en papel pero no aplicados en la práctica.

Fase 4: identificación de riesgos para los titulares

Una EIPD no evalúa riesgos para la empresa, sino para las personas. En esta fase se identifican los escenarios donde el tratamiento podría afectar derechos y libertades, considerando tanto fallas técnicas como errores humanos.

Tipos de riesgos

  • Confidencialidad: filtraciones, accesos indebidos o uso no autorizado de datos.
  • Integridad: modificación incorrecta o maliciosa de la información.
  • Disponibilidad: pérdida de datos o imposibilidad de acceso cuando el titular lo necesita.

Fuentes de riesgo

Los riesgos pueden venir de procesos mal definidos, personas sin formación, proveedores, tecnologías mal configuradas o dispositivos expuestos a robo, malware o configuraciones inseguras. Identificarlos bien facilita mitigarlos después.

Fase 5: evaluación de probabilidad e impacto

Con los riesgos identificados, el siguiente paso es ordenarlos. No todos tienen la misma urgencia ni el mismo efecto sobre las personas. Esta fase permite priorizar con criterio, evitando decisiones basadas en intuición. La idea es usar un enfoque simple, entendible por negocio, TI y legal, pero lo suficientemente claro para actuar.

  • Escalas y criterios: Una escala bajo / medio / alto suele ser suficiente para evaluar probabilidad e impacto. Para el impacto, considera el volumen de datos, su sensibilidad, la vulnerabilidad del grupo afectado (por ejemplo, menores de edad) y si el daño es reversible o no.
  • Matriz de riesgos: Al cruzar probabilidad e impacto obtienes una matriz de riesgos que muestra qué escenarios requieren medidas inmediatas, cuáles pueden planificarse y cuáles solo monitorearse. Esto ayuda a enfocar recursos donde realmente importa.

Fase 6: definición de medidas de mitigación y plan de acción

Aquí la EIPD deja de ser diagnóstico y pasa a la acción. El objetivo es reducir los riesgos identificados con medidas concretas, realistas y trazables. No se trata de prometer controles perfectos, sino de definir acciones proporcionales y medibles.

Tipos de medidas

  • Organizativas: políticas claras, formación del personal, roles y segregación de funciones.
  • Contractuales: acuerdos con encargados y cláusulas de privacidad con proveedores.
  • Técnicas: cifrado, control de accesos, registros de actividad, MDM y protección de endpoints.

Medidas específicas sobre dispositivos

Incluye controles sobre los equipos que almacenan datos personales: inventario continuo, y capacidades como bloqueo remoto, borrado remoto, geolocalización y alertas ante incidentes. Herramientas como Prey ayudan a que estas medidas sean efectivas y comprobables.

Construir el plan de acción

Cada medida debe tener un responsable, plazo, recursos, prioridad y un KPI asociado. Sin este nivel de detalle, la mitigación queda en buenas intenciones y no en resultados reales.

Fase 7: documentación, aprobación y revisión de la EIPD

La EIPD no termina cuando se identifican los riesgos. Esta fase asegura que todo quede bien documentado, validado y actualizado en el tiempo. Un informe claro permite demostrar cumplimiento, facilitar auditorías y, sobre todo, tomar decisiones informadas cuando el tratamiento evoluciona o algo cambia.

  • Contenido mínimo del informe de EIPD: El informe debe incluir un resumen ejecutivo entendible para la dirección, la metodología utilizada, una descripción clara del tratamiento, los resultados del análisis de riesgos y las medidas de mitigación definidas, junto con el riesgo residual aceptado.
  • Aprobación interna y rol del DPO: La EIPD debe ser revisada por el DPO o encargado de datos, validada por el comité de privacidad y aprobada por la dirección. Esto deja trazabilidad y respaldo a las decisiones adoptadas.
  • Revisión y actualización periódica: La evaluación debe actualizarse cuando cambian las finalidades, la tecnología, el volumen de datos o tras incidentes relevantes. Una EIPD viva es parte de una buena gobernanza.

Ejemplo simplificado de Evaluación de Impacto de Privacidad

Imaginemos que un colegio implementa una plataforma digital para gestionar información de alumnos: notas, asistencia, comunicaciones con apoderados y reportes internos. Al tratar datos de menores y centralizar información sensible, el riesgo es alto y la EIPD se vuelve clave para ordenar decisiones, reducir exposiciones y definir controles antes de salir a producción.

Aplicación de la EIPD por fases:

  1. Preparación y alcance: se define la plataforma, los cursos involucrados y los equipos responsables (dirección, TI, encargado de datos).
  2. Descripción y mapa de datos: se identifican tipos de datos, flujos, proveedores y dispositivos usados por docentes y administrativos.
  3. Necesidad y proporcionalidad: se revisa qué datos son realmente necesarios para la finalidad educativa.
  4. Identificación de riesgos: se analizan accesos indebidos, errores humanos y pérdida de equipos.
  5. Evaluación de probabilidad e impacto: se priorizan riesgos por tratarse de menores de edad.
  6. Medidas y plan de acción: controles de acceso, formación y gestión segura de dispositivos.

Cómo integrar la EIPD en tu programa de cumplimiento y gobernanza de datos

La EIPD no debería vivir como un documento aislado. Bien integrada, se transforma en una pieza central del programa de cumplimiento y gobernanza de datos, conectando riesgos, controles y decisiones reales. Usarla de forma sistemática permite priorizar recursos, generar evidencia y demostrar que la organización gestiona la privacidad de manera activa.

Relación con modelos de prevención de infracciones

La EIPD funciona como input directo para el modelo de prevención certificado ante la Agencia. Sus resultados alimentan la identificación de riesgos, la definición de controles y la justificación de medidas, fortaleciendo la defensa de diligencia en caso de fiscalización.

Rol del comité de privacidad y KPIs de madurez

El comité de privacidad debe supervisar la ejecución de las EIPD y medir avances con KPIs claros. Un indicador clave es el número de medidas de mitigación implementadas versus las planificadas, que muestra si la gestión de riesgos se traduce en acciones reales.

Conclusión: del formulario a la protección efectiva de datos

La EIPD es una herramienta práctica para alinear a negocio, legal y TI en torno a riesgos reales de privacidad y toma de decisiones informadas. Permite pasar del cumplimiento teórico a acciones concretas. Pero funciona solo si se apoya en información confiable: sin un inventario claro de datos y dispositivos, la evaluación queda incompleta y pierde impacto operativo.

Con Prey puedes convertir las medidas de la EIPD en controles verificables sobre los endpoints. Si quieres ver cómo llevar tu plan de mitigación a la práctica, agenda una llamada con nuestro equipo.

Descarga el checklist EIPD / PDIA

Preparamos un checklist EIPD / PDIA descargable para ayudarte a validar rápidamente si tu EIPD cumple con los requisitos esenciales de la Ley 21.719. Incluye campos sí/no, guía explicativa y los mínimos que toda evaluación debe cubrir. Úsalo como control final antes de cerrar tu EIPD o para auditar proyectos en curso.

Preguntas frecuentes sobre EIPD en Chile

La EIPD suele generar dudas porque cruza temas legales, técnicos y operativos. Estas respuestas aclaran las preguntas más comunes y ayudan a entender cuándo es obligatoria, cómo se aplica en la práctica y cómo mantenerla vigente dentro de un programa de cumplimiento.

¿En qué se diferencia una EIPD de un simple análisis de riesgos de TI?

La EIPD se centra en los riesgos para las personas y sus derechos, no solo en fallas técnicas o impactos para la empresa.

¿Qué pasa si no realizo una EIPD cuando la ley lo exige?

Puede derivar en sanciones, observaciones de la Agencia y mayores responsabilidades ante incidentes de datos.

¿Es necesario usar una herramienta específica para hacer el EIPD ?

No. Puede hacerse con plantillas, siempre que el análisis sea completo y trazable.

¿Cada cuánto tiempo debo revisar una Evaluación de Impacto ya realizada?

Cuando cambian la finalidad, la tecnología, el volumen de datos o tras incidentes relevantes.

Frequently asked questions

No items found.

Sobre el mismo tema

Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial 2026
Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial 2026

Políticas de Seguridad Informática: Guía Completa para la Protección Empresarial

Jan 8, 2026
Continuar leyendo
Qué es la gobernanza de datos y por qué será clave para cumplir con la Ley 21.719
Qué es la gobernanza de datos y por qué será clave para cumplir con la Ley 21.719

Todos hablan de gobernanza de datos, pero qué significa en la práctica para la ley 21.719

Jan 8, 2026
Continuar leyendo
Cómo elaborar una evaluación de impacto de privacidad (DPIA) en Chile
Cómo elaborar una evaluación de impacto de privacidad (DPIA) en Chile

Aprende qué es una Evaluación de Impacto de Privacidad (DPIA/EIPD) en Chile, cuándo es obligatoria según la Ley 21.719 y cómo elaborarla paso a paso.

Jan 6, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar