Caso de uso: Holding con multiples empresas
Contexto de la empresa
Grupo Austral Holdings es un conglomerado con 4 filiales en distintos sectores:
| Filial | Sector | Empleados | Clientes / datos |
|---|---|---|---|
| Austral Seguros | Seguros | 300 | 80.000 asegurados (datos sensibles: salud) |
| Austral Inmobiliaria | Real estate | 50 | 5.000 arrendatarios |
| Austral Tech | Software / SaaS | 80 | 15.000 usuarios |
| Austral Capital | Financiera | 40 | 3.000 inversionistas (datos financieros) |
| Caracteristica | Detalle |
|---|---|
| Total empleados | 470 personas |
| Paises | Chile + Peru (Austral Seguros) |
| DPO | DPO corporativo a nivel holding + coordinadores en cada filial |
| Riesgo especifico | Datos sensibles (salud), datos financieros, transferencias internacionales a Peru, volumen masivo |
🚫
Cada filial es un responsable de tratamiento independiente ante la ley. El holding no puede asumir la responsabilidad en nombre de las filiales — cada una debe cumplir por separado, aunque pueden compartir herramientas y procesos.
Modulos de DPOLab necesarios
| Modulo | Austral Seguros | Austral Inmobiliaria | Austral Tech | Austral Capital |
|---|---|---|---|---|
| RAT | Alta | Alta | Alta | Alta |
| ARSOP | Alta | Media | Alta | Alta |
| CMP | Alta | Media | Alta | Media |
| DPIA | Alta (salud) | Baja | Media | Alta (financiero) |
| Brechas | Alta | Media | Alta | Alta |
| Mapa de Datos | Alta | Media | Alta | Alta |
| Politica de Privacidad | Alta | Alta | Alta | Alta |
| Governance | Alta | Media | Alta | Alta |
Arquitectura multi-tenant
DPOLab soporta esta estructura con su modelo multi-tenant:
Grupo Austral Holdings
├── Tenant: austral-seguros (plan Enterprise)
├── Tenant: austral-inmobiliaria (plan Professional)
├── Tenant: austral-tech (plan Enterprise)
└── Tenant: austral-capital (plan Enterprise)Cada filial tiene su propio tenant con datos completamente aislados. El DPO corporativo tiene acceso a todos los tenants con rol dpo.
Paso a paso de implementacion
Mes 1: Estrategia corporativa
- El DPO corporativo define la estrategia de cumplimiento para el grupo
- Crear 4 cuentas en DPOLab (una por filial) con plan Enterprise
- Configurar al DPO corporativo con acceso cross-tenant
- Asignar coordinadores de datos en cada filial
- Definir politicas corporativas comunes: retencion de datos, respuesta a brechas, gestion de consentimiento
Mes 2-3: RAT y mapa de datos (en paralelo por filial)
Austral Seguros (prioridad maxima por datos sensibles):
- RAT: ~15 actividades (polizas, siniestros, evaluacion medica, marketing, proveedores)
- Mapa: 10+ sistemas (core de seguros, CRM, sistema de siniestros, portal web, corredores)
Austral Capital (datos financieros):
- RAT: ~10 actividades (gestion de inversiones, KYC, compliance, reportes regulatorios)
- Mapa: 8+ sistemas (plataforma de inversiones, CRM, cumplimiento AML, portal inversionistas)
Austral Tech (datos de usuarios SaaS):
- RAT: ~8 actividades (gestion de usuarios, analytics, soporte, facturacion)
- Mapa: 6+ sistemas (plataforma SaaS, Stripe, analytics, soporte, CRM)
Austral Inmobiliaria (menor complejidad):
- RAT: ~5 actividades (arrendatarios, propiedades, cobranza, mantenimiento)
- Mapa: 4 sistemas (ERP, portal de arrendatarios, cobranza, correo)
Mes 3-4: DPIAs criticas
Realizar evaluaciones de impacto obligatorias:
- Austral Seguros: DPIA para tratamiento de datos de salud en evaluacion de siniestros
- Austral Seguros: DPIA para perfilamiento de riesgo de asegurados
- Austral Capital: DPIA para evaluacion automatizada de riesgo crediticio
- Austral Tech: DPIA para analytics de comportamiento de usuarios (si aplica)
Mes 4-5: Widgets, ARSOP y consentimiento
- Instalar banners CMP en los 4 sitios web corporativos + portal de asegurados + portal de inversionistas
- Instalar widgets ARSOP en cada portal de clientes
- Configurar Google Consent Mode v2 en Austral Seguros y Austral Tech (mayor presencia web)
- Definir flujos de respuesta ARSOP por filial (quien responde, SLAs internos)
Mes 5-6: Brechas e integraciones
- Configurar gestion de brechas en las 4 filiales
- Definir protocolo de escalamiento: coordinador filial → DPO corporativo → directorio → APDP
- Para Austral Tech: integrar con herramientas de monitoreo existentes
- Simulacro de brecha cross-filial (ej: proveedor compartido comprometido)
Mes 6-7: Politica de privacidad por filial
- Generar la Politica de Privacidad en cada tenant — cada filial es responsable independiente y necesita su propia politica
- Cada politica se auto-genera con los datos del RAT de la filial:
- Austral Seguros: incluira datos sensibles de salud, transferencias a Peru, medidas de seguridad reforzadas
- Austral Capital: detallara datos financieros, evaluacion automatizada de riesgo, medidas anti-fraude
- Austral Tech: cubrira datos de usuarios SaaS, analytics, cookies, transferencias internacionales (si usa AWS/GCP)
- Austral Inmobiliaria: version mas simple con datos de arrendatarios y cobranza
- El DPO corporativo revisa las 4 politicas via workflow de aprobacion en cada tenant
- Publicar y versionar — colocar enlace en el sitio web de cada filial
- Coordinar que las politicas sean consistentes en formato y nivel de detalle (aunque el contenido varia por filial)
Mes 8: Governance corporativa
- Configurar reportes automaticos por filial y consolidados para el holding
- Dashboard del DPO corporativo con vision cross-tenant
- Preparar documentacion para auditoria del grupo: RAT, DPIAs, brechas, consentimientos, politicas de privacidad publicadas (una por filial, versionadas)
- Revision juridica con el estudio externo (especialmente transferencias a Peru de Austral Seguros)
- Capacitacion final: 470 empleados en formato e-learning
Tiempo estimado para cumplir
| Fase | Duracion | Dedicacion (DPO corporativo) |
|---|---|---|
| Estrategia corporativa | 4 semanas | 20 horas/semana |
| RAT y mapa de datos | 8 semanas | 15 horas/semana |
| DPIAs criticas | 4 semanas | 15 horas/semana |
| Widgets y ARSOP | 4 semanas | 10 horas/semana |
| Brechas e integraciones | 4 semanas | 10 horas/semana |
| Politica de privacidad (x4 filiales) | 4 semanas | 8 horas/semana |
| Governance | 4 semanas | 8 horas/semana |
| Total | 8 meses | ~450-550 horas totales (equipo) |
⚠️
La implementacion en un holding requiere coordinacion centralizada pero ejecucion distribuida. El error mas comun es intentar que el DPO corporativo haga todo solo. Cada filial debe tener un coordinador dedicado que conozca sus propios procesos y sistemas.
Ventajas de DPOLab para holdings
- Aislamiento por tenant: cada filial tiene datos completamente separados, cumpliendo el principio de minimizacion
- Roles cross-tenant: el DPO corporativo puede supervisar todas las filiales sin mezclar datos
- Reportes consolidados: vision de cumplimiento a nivel grupo para el directorio
- Politica de privacidad por filial: cada tenant genera su propia politica Art. 14 ter desde su RAT, con workflow de aprobacion independiente
- Politicas compartidas: plantillas de contratos, politicas de retencion y procedimientos se pueden replicar entre tenants
- Costo eficiente: 4 tenants Enterprise vs. 4 herramientas diferentes con integraciones complejas