Escrito por: Hipatia Donoso
El 13 de noviembre de 2025 se publicó en el Registro Oficial la Resolución No. SPDP-SPD-2025-0040-R emitida por la SPDP, a través de la cual se aprobó la Guía de Protección de Datos Personales desde el Diseño y por Defecto.
La resolución establece que los principios recogidos en los capítulos 1 y 2 de la Guía serán de cumplimiento obligatorio cuando sean aplicables al contexto específico del tratamiento de datos personales. El resto del documento tiene un carácter orientativo y constituye una buena práctica para fortalecer la gestión de riesgos. A continuación, te contamos sus puntos más relevantes.
- Protección de datos desde el diseño y por defecto
La LOPDP exige que todo proyecto que involucre tratamiento de datos personales incorpore medidas de seguridad desde su fase de diseño, evaluando los riesgos potenciales para los derechos de los titulares. Esto implica anticipar qué datos se usarán, cómo se protegerán y qué riesgos podrían surgir en el futuro.
Por su parte, la protección de datos por defecto requiere que las configuraciones iniciales de cualquier sistema estén orientadas a garantizar el principio de minimización. Por defecto, sólo deben tratarse los datos estrictamente necesarios para la finalidad correspondiente.
- Arquitectura de Cero Confianza (Zero Trust) en el tratamiento de datos personales
La Guía incorpora el enfoque de Arquitectura de Cero Confianza, un modelo utilizado en seguridad de la información que parte del principio de no asumir confianza automática en ningún proceso, usuario o sistema. Aplicado a la protección de datos personales, este enfoque exige verificar cada acción vinculada al tratamiento de información, evitando accesos amplios o no controlados.
Para implementar esta arquitectura, la Guía organiza los lineamientos técnicos y organizativos en tres ejes complementarios:
- DevPrivOps: Integra la privacidad en el desarrollo mediante principios como minimizar el uso de datos, aplicar técnicas de ocultamiento o restringir accesos, informar a los titulares y asegurar mecanismos efectivos para ejercer sus derechos.
- DevSecOps: Consiste en incorporar mecanismos de seguridad desde las etapas iniciales del desarrollo de software y de los sistemas de almacenamiento de datos, promoviendo prácticas como el análisis automatizado de vulnerabilidades, pruebas continuas y la colaboración entre equipos técnicos y legales para el monitoreo de posibles riesgos en el tratamiento de datos.
- DevRiskOps: Se enfoca en la gestión de riesgos, integrando tanto los riesgos de protección de datos como los de seguridad de la información para tomar decisiones basadas en impacto y probabilidad.
- Modelo de madurez
La Guía incorpora un modelo referencial, no obligatorio, que permite evaluar el nivel de madurez de una organización respecto de la implementación de los principios. Los niveles van desde un estado caótico hasta un estado maduro.
- Revisión y actualizaciones
La resolución establece que, en el plazo de un año contado desde su publicación, la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales deberá revisar y evaluar el contenido de la Guía con el fin de implementar mejoras continuas, y posteriormente presentar el informe técnico al Superintendente de Protección de Datos Personales.
© TobarZVS
Esta publicación contiene información de interés general y no constituye opinión legal sobre asuntos específicos. Cualquier análisis particular, requerirá asesoramiento legal de la Firma.