Caso de uso: Empresa del sector electrico (OIV)
Contexto de la empresa
Renovables del Sur SpA es una empresa generadora de energia solar con operaciones en el norte de Chile:
| Caracteristica | Detalle |
|---|---|
| Sector | Energia electrica (generacion) |
| Empleados | 120 personas |
| Instalaciones | 3 plantas solares + oficina central |
| Datos que maneja | Empleados, contratistas, SCADA/OT, videovigilancia, control de acceso biometrico, clientes corporativos |
| Regulaciones | Ley 21.719 (datos), Ley 21.663 (ciberseguridad), NERC-CIP (infraestructura critica) |
| Clasificacion | Operador de Importancia Vital (OIV) por ser parte de la infraestructura electrica |
🚫
Como OIV, Renovables del Sur tiene doble obligacion regulatoria: cumplir con la Ley 21.719 de proteccion de datos y con la Ley 21.663 de ciberseguridad para infraestructura critica. Un incidente puede activar notificaciones simultaneas a la APDP y a la ANCI.
Modulos de DPOLab necesarios
| Modulo | Por que lo necesita | Prioridad |
|---|---|---|
| RAT | 8+ actividades de tratamiento incluyendo datos sensibles (biometricos, salud ocupacional) | Alta |
| Brechas | Gestion integrada con Wazuh para deteccion automatica — notificacion a APDP y ANCI | Alta |
| DPIA | Obligatorio por tratamiento de datos biometricos y videovigilancia a gran escala | Alta |
| Mapa de Datos | Registrar sistemas IT, OT/SCADA, videovigilancia, control de acceso — 6+ sistemas | Alta |
| ARSOP | Canal de derechos para empleados y contratistas | Media |
| CMP | Consentimiento para portal corporativo y sistemas de RRHH | Media |
| Politica de Privacidad | Politica Art. 14 ter con secciones de datos biometricos, videovigilancia y medidas de seguridad | Alta |
| Governance | Reportes para directorio, regulador electrico y auditores externos | Media |
Paso a paso de implementacion
Mes 1: Diagnostico y configuracion
- Solicitar acceso a DPOLab con plan Enterprise (multi-sitio)
- Designar al DPO interno (obligatorio para OIV)
- Mapear todos los flujos de datos entre IT y OT
- Inventariar los 6+ sistemas: SCADA, videovigilancia, control biometrico, ERP, RRHH, correo
- Clasificar datos por sensibilidad: biometricos (alto), salud ocupacional (alto), operacionales (medio)
Mes 2: RAT y mapa de datos
Registrar actividades de tratamiento:
- Nomina y gestion de RRHH — Datos sensibles (salud ocupacional), base legal: obligacion legal
- Control de acceso biometrico — Datos sensibles (huellas), base legal: contrato laboral
- Videovigilancia de instalaciones — Datos sensibles (biometricos), base legal: interes legitimo
- Sistema SCADA/OT — Datos operacionales, base legal: obligacion legal
- Gestion de clientes corporativos — Base legal: contrato
- Contratistas y proveedores B2B — Base legal: contrato
- Newsletter y comunicaciones — Base legal: consentimiento
- Registro de incidentes de seguridad — Base legal: obligacion legal
Registrar todos los sistemas en el mapa de datos con sus flujos, transferencias y responsables.
Mes 3: DPIAs y brechas
- Realizar DPIAs obligatorias:
- Control de acceso biometrico — Tratamiento sistematico de datos biometricos
- Videovigilancia — Monitoreo sistematico a gran escala
- Configurar integracion con Wazuh para deteccion automatica de brechas
- Definir arbol de decision: que eventos de seguridad activan notificacion a APDP vs ANCI vs ambos
- Configurar webhooks y alertas automaticas
Mes 4: ARSOP, consentimiento y procesos
- Instalar widget ARSOP en el portal de empleados
- Configurar banner CMP en sitio corporativo
- Capacitar a RRHH para gestionar solicitudes de empleados
- Definir procedimiento de respuesta a incidentes dual (datos + ciberseguridad)
- Simulacro de brecha con notificacion simultanea a APDP y ANCI
Mes 5: Politica de privacidad
- Generar la Politica de Privacidad — se auto-completa con las 8+ actividades del RAT, medidas de seguridad consolidadas, y transferencias internacionales si aplican
- Revisar secciones criticas:
- Datos biometricos y videovigilancia: verificar que la seccion d) detalla correctamente bases legales y titulares
- Medidas de seguridad: la seccion e) debe reflejar las medidas IT y OT documentadas
- Decisiones automatizadas: personalizar si el SCADA genera alertas automaticas que afectan a personas
- Enviar a revision legal → aprobacion DPO via workflow (obligatorio para OIV)
- Publicar la politica y colocar en el portal de empleados y en el sitio corporativo
- Generar PDF para archivo regulatorio
Mes 6: Governance y consolidacion
- Configurar reportes automaticos: semanal (operativo), mensual (directorio), trimestral (regulador)
- Preparar documentacion para auditoria: RAT, DPIAs, registro de brechas, consentimientos, politica de privacidad publicada con versionamiento
- Revision con el estudio juridico externo
- Ajustes finales y segundo simulacro
Tiempo estimado para cumplir
| Fase | Duracion | Dedicacion |
|---|---|---|
| Diagnostico y configuracion | 4 semanas | 8-10 horas/semana |
| RAT y mapa de datos | 4 semanas | 6-8 horas/semana |
| DPIAs y brechas | 4 semanas | 8-10 horas/semana |
| ARSOP, CMP y procesos | 4 semanas | 6-8 horas/semana |
| Politica de privacidad | 2 semanas | 6-8 horas/semana |
| Governance y consolidacion | 6 semanas | 4-6 horas/semana |
| Total | 6 meses | ~200-240 horas totales |
⚠️
Para empresas OIV, el plazo de implementacion es mayor porque hay que coordinar la convergencia entre proteccion de datos y ciberseguridad. Recomendamos iniciar al menos 6 meses antes de la entrada en vigencia de la ley. Consulta la guia completa en Convergencia Ley 21.719 + Ley 21.663.