Generador interactivo de DPIA para sistemas IA en Chile
Ingresa los datos de tu sistema IA y genera una DPIA estructurada en 7 secciones con scoring automático de riesgo residual.
Genera tu DPIA con scoring automático de riesgo residual
Plantilla operativa alineada a Ley 21.719. No reemplaza revisión legal.
Riesgo residual estimado
Bajo
DPIA documental ligera; mantener controles estándar.
Vista previa de la DPIA
# DPIA — Evaluación de Impacto en Protección de Datos ## Sistema: [NOMBRE SISTEMA] **Versión:** 1.0 **Fecha de elaboración:** [completar al firmar] **Sector:** General **Responsable funcional:** [Nombre y cargo] **Responsable técnico:** [Nombre y cargo] **DPO o Responsable de Protección de Datos:** [Nombre] **Marco normativo aplicable:** Ley 21.719 de Protección de Datos Personales (vigente desde diciembre de 2026), Proyecto de Ley de Inteligencia Artificial chileno en tramitación. --- ## 1. Descripción del tratamiento [Descripción breve del sistema, su propósito y contexto operativo.] **Volumen de titulares afectados:** 1.000 a 10.000 titulares. **Frecuencia del tratamiento:** [continuo / batch periódico / por evento — completar]. **Contexto operativo:** [describir cuándo, dónde y por quién se ejecuta el sistema]. ## 2. Base de licitud Justificar la base bajo la cual se realiza el tratamiento: - [ ] **Consentimiento del titular** (libre, específico, informado, inequívoco). - [ ] **Ejecución de contrato** (necesario para cumplir contrato con el titular). - [ ] **Obligación legal** (norma específica chilena, citar artículo). - [ ] **Interés legítimo** (balanceado contra derechos del titular, documentar). - [ ] **Interés vital** (proteger vida o integridad). - [ ] **Misión de interés público** (organismos públicos). **Justificación de la base elegida:** [argumentar con detalle]. ## 3. Necesidad y proporcionalidad **Datos personales tratados:** - Identificación (nombre, RUT, fecha nacimiento) - Contacto (email, teléfono, dirección) **Justificación de necesidad:** demostrar que la finalidad del tratamiento se cumple con los datos mínimos necesarios y que no existe alternativa menos invasiva. **Datos NO recolectados pero que podrían haberlo sido:** documentar la decisión de no recolectarlos como evidencia de minimización. ## 4. Identificación de riesgos para los titulares **Decisión automatizada sobre personas:** NO. Si en el futuro el sistema toma decisiones automatizadas, actualizar esta DPIA. **Riesgos identificados:** - **Acceso indebido por terceros:** [probabilidad: baja/media/alta] [severidad: baja/media/alta]. Causa típica: credenciales filtradas, API expuesta, vulnerabilidad de aplicación. - **Pérdida o destrucción de datos:** [probabilidad] [severidad]. Causa típica: falla de infraestructura, ataque, error humano. - **Uso indebido por parte del responsable o encargados:** [probabilidad] [severidad]. Causa típica: falta de capacitación, ausencia de control de accesos. - **Decisiones erradas que afectan al titular:** [probabilidad] [severidad]. Causa típica: sesgo en datos de entrenamiento, alucinación del modelo, falta de supervisión humana. - **Transferencia internacional de datos:** [aplicable / no aplicable]. Si aplica, documentar país destino, base legal de la transferencia, garantías contractuales. ## 5. Medidas de mitigación **Controles técnicos:** - Encriptación en tránsito (TLS 1.2 mínimo) y en reposo (AES-256). - Control de acceso basado en roles (RBAC) con principio de mínimo privilegio. - Logging y auditoría de cada acceso a datos personales. - Respaldos encriptados con retención y rotación documentadas. - Pruebas periódicas de seguridad (al menos anuales). **Controles organizacionales:** - Política interna de protección de datos firmada por todo el personal con acceso. - Capacitación obligatoria al ingreso y anualmente. - Procedimiento de gestión de incidentes y notificación de brechas a la Agencia, en los plazos que establezca la Ley 21.719. - Procedimiento de atención de derechos del titular (acceso, rectificación, oposición, supresión, portabilidad). - DPAs (Data Processing Agreements) revisados con cada proveedor/encargado. - Inventario de tratamientos actualizado. **Controles legales y contractuales:** - Base de licitud documentada según Sección 2. - Aviso de privacidad disponible al titular en lenguaje claro. - Cláusulas contractuales con encargados (proveedores) que aseguren mismas garantías. ## 6. Riesgo residual **Después de aplicar todas las mitigaciones, riesgo residual estimado:** Bajo DPIA documental ligera; mantener controles estándar. **Acción recomendada:** despliegue estándar. Mantener controles vigentes. Revisión anual. ## 7. Decisión y firmas **Decisión:** [APROBAR / APROBAR CON CONDICIONES / RECHAZAR / SUSPENDER PARA REVISIÓN]. **Condiciones para el despliegue (si aplica):** [Detallar condiciones específicas que deben cumplirse antes de poner el sistema en producción.] **Próxima revisión:** [fecha — recomendado: anual o ante cambio material]. --- ### Firmas | Rol | Nombre | Firma | Fecha | |---|---|---|---| | Responsable funcional | | | | | Responsable técnico | | | | | DPO / Responsable Protección de Datos | | | | --- ## Aviso legal Este documento es una plantilla operativa generada automáticamente. No reemplaza asesoría legal. Para tratamientos críticos o de alto riesgo, validar con abogado especializado antes de aprobar formalmente.
Cómo se generó la plantilla
La plantilla base sigue la estructura clásica de DPIA en 7 secciones: descripción del tratamiento, base de licitud, necesidad y proporcionalidad, identificación de riesgos, medidas de mitigación, riesgo residual y decisión + firmas.
El generador personaliza con base en 5 variables que cambian la versión final: nombre del sistema (reemplaza placeholder), descripción breve, tipos de datos personales tratados (con scoring de sensibilidad), volumen de titulares afectados (escalas Ley 21.719), presencia de decisión automatizada (activa controles específicos), sector (incluye consideraciones sectoriales cuando aplica).
3 reglas para que la DPIA sea efectiva y no documental
- La DPIA se hace ANTES de poner el sistema en producción, no después. Pre-producción permite ajustes; post-producción genera deuda.
- Las mitigaciones declaradas deben tener evidencia técnica (configuraciones, logs, contratos). Sin evidencia, son intenciones, no controles.
- Revisión anual obligatoria + revisión obligatoria ante cambio material. La DPIA estática queda obsoleta en 6-12 meses.