Caso de uso: Tienda online con 50.000 clientes
Contexto de la empresa
ShopAndes es una tienda online de ropa y accesorios con operacion en Chile:
| Caracteristica | Detalle |
|---|---|
| Sector | Retail / E-commerce |
| Empleados | 45 personas |
| Clientes registrados | 50.000 |
| Sitio web | Tienda en Shopify + blog en WordPress |
| Datos que maneja | Nombre, email, direccion, telefono, historial de compras, datos de pago (via pasarela) |
| Marketing | Email marketing, Google Ads, Meta Ads, retargeting |
| Riesgo especifico | Cookies de tracking, perfilamiento de clientes, transferencias a Meta/Google (internacional) |
Modulos de DPOLab necesarios
| Modulo | Por que lo necesita | Prioridad |
|---|---|---|
| RAT | Documentar el tratamiento de datos de clientes, empleados, marketing y logistica | Alta |
| CMP | Banner de consentimiento obligatorio para cookies de analytics y marketing | Alta |
| ARSOP | Canal para que los 50.000 clientes ejerzan sus derechos | Alta |
| Mapa de Datos | Registrar Shopify, pasarela de pago, CRM, email marketing, Meta, Google | Media |
| DPIA | Evaluacion de impacto por perfilamiento de clientes para marketing personalizado | Media |
| Brechas | Gestion de incidentes — cualquier filtracion de datos de 50.000 clientes seria gravisima | Media |
| Politica de Privacidad | Generar politica Art. 14 ter con detalle de actividades, cookies, transferencias internacionales | Alta |
| Governance | Reportes de cumplimiento para directorio y DPO externo | Baja |
Paso a paso de implementacion
Semana 1-2: Configuracion inicial
- Solicitar acceso a DPOLab y completar el onboarding
- Registrar la empresa con RUT y datos del representante legal
- Designar al DPO (puede ser externo, ej: estudio de abogados)
- Invitar al equipo: gerente de TI, responsable de marketing, atencion al cliente
Semana 3-4: Registro de actividades (RAT)
Registrar todas las actividades de tratamiento:
- Gestion de clientes y pedidos — Base legal: contrato
- Email marketing y newsletters — Base legal: consentimiento
- Retargeting publicitario (Meta/Google) — Base legal: consentimiento
- Analisis de comportamiento en sitio web — Base legal: consentimiento
- Gestion de empleados y nomina — Base legal: obligacion legal
- Atencion al cliente — Base legal: contrato
- Prevencion de fraude — Base legal: interes legitimo
Semana 5-6: Consentimiento y widgets
- Instalar el banner CMP en el sitio Shopify y en el blog WordPress
- Configurar propositos: analytics, marketing, redes sociales
- Activar bloqueo de scripts para Google Analytics, Meta Pixel, Hotjar
- Habilitar Google Consent Mode v2
- Instalar el widget ARSOP en la pagina de "Mis derechos" del sitio
Semana 7-8: Mapa de datos y DPIA
- Registrar todos los sistemas en el mapa de datos:
- Shopify (alojamiento en Canada — transferencia internacional)
- Pasarela de pago (Transbank)
- Mailchimp (alojamiento en EE.UU. — transferencia internacional)
- Google Analytics (EE.UU.)
- Meta Ads (EE.UU.)
- CRM interno
- Realizar DPIA para el perfilamiento de clientes con fines de marketing
Semana 9-10: Procesos operativos
- Capacitar al equipo de atencion al cliente para derivar solicitudes ARSOP
- Definir flujo interno: quien verifica identidad, quien responde, quien aprueba
- Configurar alertas de plazo (3 dias habiles antes del vencimiento)
- Hacer un simulacro de solicitud ARSOP de punta a punta
Semana 11: Politica de privacidad
- Generar la Politica de Privacidad desde DPOLab — se auto-completa con las 7 actividades del RAT, los propositos de consentimiento del CMP, y las transferencias internacionales (Shopify Canada, Mailchimp/Meta/Google EE.UU.)
- Revisar la seccion de transferencias internacionales (critica para e-commerce con proveedores extranjeros)
- Personalizar la seccion de decisiones automatizadas si hay recomendaciones de productos basadas en IA
- Enviar a revision del DPO externo via workflow de aprobacion
- Una vez aprobada, publicar y colocar enlace en footer del sitio Shopify + blog WordPress
- Descargar PDF para archivo legal
Semana 12: Governance y ajustes
- Generar primer reporte de cumplimiento
- Revisar metricas: tasa de consentimiento, solicitudes ARSOP pendientes
- Ajustar textos del banner y del formulario ARSOP segun feedback
- Verificar que la politica de privacidad publicada refleja los plazos de retencion documentados en el RAT
Tiempo estimado para cumplir
| Fase | Duracion | Dedicacion |
|---|---|---|
| Configuracion y RAT | 4 semanas | 4-6 horas/semana |
| Widgets y consentimiento | 2 semanas | 6-8 horas/semana |
| Mapa de datos y DPIA | 2 semanas | 4-6 horas/semana |
| Procesos y capacitacion | 2 semanas | 3-4 horas/semana |
| Politica de privacidad | 1 semana | 3-4 horas |
| Governance | 1 semana | 2-3 horas/semana |
| Total | 12 semanas | ~55-65 horas totales |
Con el plan Professional de DPOLab, ShopAndes puede gestionar todo sin contratar personal adicional. El DPO externo accede como usuario con rol dpo para supervisar y aprobar.