Lo que debes saber de la nueva Guía de Protección de Datos Personales desde el Diseño y por Defecto

Guía

La Superintendencia de Protección de Datos Personales (SPDP) emitió la Guía de Protección de Datos Personales desde el Diseño y por Defecto, que desarrolla principios como los previstos en el artículo 39 de la Ley Orgánica de Protección de Datos Personales (LOPDP)[1]. Su objetivo es garantizar que toda organización incorpore medidas preventivas de privacidad y seguridad desde la concepción y ejecución de cualquier proyecto que implique el tratamiento de datos personales, promoviendo un enfoque proactivo y demostrable de cumplimiento.

 

1. Cumplimiento orientado al riesgo

La guía tiene carácter orientativo, pero sus principios son obligatorios cuando sean aplicables al desarrollo, personalización o implementación de software o sistemas que traten datos personales.

El principio de protección de datos desde el diseño[2] exige prever los riesgos jurídicos y operativos que estos podrían ocasionar a los derechos y libertades de los titulares antes del tratamiento; mientras que el principio de protección de datos por defecto[3] obliga a configurar de manera preestablecida la minimización de datos, la pertinencia y los mecanismos de ejercicio de derechos.

 

2. Arquitectura de “Cero Confianza”

La Guía introduce el modelo de Cero Confianza (Zero Trust Data Protection), que elimina cualquier confianza implícita en cualquier operación o táctica que involucre tratamiento de datos personales. Este enfoque integra tres dimensiones que deben aplicarse de forma coordinada[4]:

  • DevPrivOps – desarrollo de privacidad.
  • DevSecOps – operaciones de seguridad de la información.
  • DevRiskOps – gestión continua de riesgos.

 

2.1 Desarrollo de operaciones en privacidad

El eje DevPrivOps establece las tácticas fundamentales para aplicar la privacidad desde el diseño y por defecto:

  1. Minimizar los datos recolectados y eliminar los innecesarios.
  2. Ocultar la identidad o los atributos mediante cifrado, anonimización, disosiación, ofuscación, mezcla o separación de los datos personales.
  3. Separar las bases de datos para evitar centralización y perfilamiento de los titulares.
  4. Abstraer detalles excesivos mediante agrupación o perturbación de datos.
  5. Informar de manera clara sobre todos los aspectos relacionados con el tratamiento de datos personales conforme la LOPDP.
  6. Controlar dando mecanismos a los titulares para poder controlar el tratamiento de sus datos, como revocar su consentimiento.
  7. Cumplir e implementar una gestión de riesgos.
  8. Demostrar el cumplimiento mediante registros, procesos el cumplimiento de la LOPDP.

 

Estos principios consolidan una cultura de “privacy by design”, donde la privacidad es parte de la arquitectura y no un elemento accesorio[5].

Abstraer detalles excesivos mediante agrupación o perturbación de datos.Informar de manera clara sobre todos los aspectos relacionados con el tratamiento de datos personales conforme la LOPDPControlar dando mecanismos a los titulares para poder controlar el tratamiento de sus datos, como revocar su consentimientoInformar de manera clara sobre todos los aspectos relacionados con el tratamiento de datos personales conforme la LOPDP.

 

2.2 Desarrollo de operaciones en seguridad de la información

El enfoque DevSecOps busca que la seguridad sea una responsabilidad compartida y parte natural del desarrollo de software. La guía recomienda:

  • Integrar la seguridad desde el diseño (“Shift Left”), aplicando cifrado,  autenticación robusta y la minimización de datos.

 

  • Automatizar controles de seguridad (SAST[6], DAST[7], SCA[8], IaC[9], detección de fugas y validaciones CI/CD).

 

  • Fomentar la colaboración interdisciplinaria entre desarrollo, operaciones seguridad y protección de datos.

 

  • Monitorear y retroalimentar continuamente para detectar vulnerabilidades y comportamientos anómalos de manera oportuna.

 

2.3 Desarrollo de operaciones en gestión de riesgos

La guía establece que la protección de datos personales debe basarse en la gestión de riesgos, integrando privacidad, seguridad y responsabilidad desde el diseño. Los principios clave son:

 

  • Evaluar riesgos a los derechos y libertades desde la concepción del proyecto[10].

 

  • Integrar la gestión de riesgos de privacidad y seguridad, al ser interdependientes[11].

 

  • Aplicar estándares y métricas reconocidas que reduzcan la incertidumbre[12].

 

  • Justificar los criterios y valores usados en los modelos de riesgo[13].

 

  • Garantizar conformidad real, no solo documental[14].

 

  • Auditar periódicamente la eficacia y el retorno de inversión en seguridad ROSI[15].

 

  • Prevenir vulneraciones asegurando la confidencialidad, integridad y disponibilidad de los datos[16].

 

En suma, promueve una gestión preventiva, medible y continua de los riesgos asociados al tratamiento de datos personales.

 

3. Criterios para estimar la madurez de la permeabilidad de los principios de DevPrivOps, DevSecOps y DevRiskOps

La guía propone un modelo de evaluación de madurez para medir cómo las organizaciones aplican los principios de DevPrivOps, DevSecOps y DevRiskOps dentro de una arquitectura de Cero Confianza. Este sistema permite identificar avances, brechas y niveles de cumplimiento tanto por proceso como a nivel global[17].

 

Niveles de madurez[18]:

  • Nivel 0 – Caótico: el principio no se conoce ni aplica.
  • Nivel 1 – Implícito: se conoce, pero se aplica en menos del 25%.
  • Nivel 2 – Temprano explícito: implementación parcial (25–75%).
  • Nivel 3 – Maduro explícito: aplicación consolidada (más del 75%).

La evaluación debe sustentarse en rationales cuantitativos o cualitativos que reflejen evidencia de cumplimiento

 

Método de calibración[19]:

Comprende dos pasos:

 

  • Identificación: elaborar un Registro de Actividades del Tratamiento (RAT) que detalle cada proceso y sus tipos de datos, definiendo el espacio de sampleo (EDS)[20].

 

  • Análisis y evaluación: asignar niveles de madurez por principio, usando métricas y controles verificables[21].

 

Evaluación por eje[22]:

Se propone un modelo de evaluación de madurez para medir cuánto ha incorporado una organización los principios de DevPrivOps, DevSecOps y DevRiskOps en su gestión de datos personales dentro de la arquitectura de Cero Confianza.

 

Objetivo: Permitir un seguimiento continuo del grado de implementación y mejorar progresivamente la conformidad con la LOPDP.

 

4. Disposiciones transitorias

La SPDP anunció que en un plazo máximo de seis meses se emitirá una guía complementaria sobre controles de riesgo y tecnologías de mejora de la privacidad (PETs), enfocada en privacidad diferencial, ciencia de datos e inteligencia artificial[23].

 

Además, la presente guía será actualizada anualmente para mantener su vigencia técnica y normativa[24].

En caso de requerir más información, no dude en contactar con AVL Abogados.

 

 

Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL Abogados. 

 

__________________________________________________________________

[1] Sección 1. Contexto de la obligación.

[2] Sección 1.1. Protección de datos desde el diseño.

[3] Sección 1.2. Protección de datos por defecto.

[4] Sección 2. Arquitectura de Cero Confianza en el tratamiento de datos personales.

[5] Sección 2.1. Desarrollo de operaciones de privacidad.

[6] Análisis estático de seguridad de aplicaciones.

[7] Análisis dinámico de seguridad de aplicaciones.

[8] Análisis de la composición

[9] Escaneo de infraestructura como código.

[10] Sección 2.3.1. Gestión de riesgos para la protección de datos y libertades.

[11] Sección 2.3.2. Integración de la gestión de riesgos para la protección de derechos y libertades con la gestión de riesgos de seguridad de la información.

[12] Sección 2.3.3. Utilizar estándares de mejores prácticas.

[13] Sección 2.3.4. Justificación de todos los rationales.

[14] Sección 2.3.5. Conformidad en riesgos.

[15] Sección 2.3.6. Auditorías.

[16] Sección 2.3.7. Prevenir vulneraciones de la seguridad de datos personales.

[17] Sección 3. Criterios para estimar la madurez de la permeabilidad de los principios de DevPrivOps, DevSecOps y DevRiskOps

[18] Sección 3.1. Niveles de madurez.

[19] Sección 3.2. Método de calibración.

[20] Sección 3.2.1. Identificación.

[21] Sección 3.2.2. Análisis y evaluación.

[22] Sección 3.3. Evaluación por eje.

[23] Sección 4.1. Guía complementaria.

[24] Sección 4.2. Actualizaciones.

 

 

Comunícate con nosotros​

Áreas de servicios

Comunícate con nosotros
X-twitter Linkedin-in
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.