Caso de uso: PYME de 20 personas sin DPO dedicado
Contexto de la empresa
Contaplus Ltda. es un estudio contable que atiende a PYMES en la Region Metropolitana:
| Caracteristica | Detalle |
|---|---|
| Sector | Servicios contables y tributarios |
| Empleados | 20 personas |
| Clientes | 200 empresas (PYMES) |
| Datos que maneja | Nombre, RUT, datos financieros, datos tributarios de clientes y sus empleados |
| Tecnologia | Software contable en la nube, correo Google Workspace, Excel compartido |
| Riesgo especifico | Actua como encargado de tratamiento de los datos de los clientes |
| DPO | No tiene ni necesita uno dedicado (no cumple los umbrales), pero alguien debe asumir el rol |
La Ley 21.719 no exime a las PYMES. Contaplus trata datos personales (financieros, tributarios, de identificacion) de miles de personas a traves de sus 200 clientes. Ademas, como estudio contable, actua como encargado de tratamiento: procesa datos por cuenta de sus clientes, lo que requiere contratos especificos.
Modulos de DPOLab necesarios
| Modulo | Por que lo necesita | Prioridad |
|---|---|---|
| RAT | Documentar el tratamiento de datos de sus clientes y sus propios empleados | Alta |
| ARSOP | Canal para recibir solicitudes de derechos (pueden llegar via sus clientes) | Alta |
| Mapa de Datos | Registrar software contable, Google Workspace, repositorios de documentos | Media |
| Brechas | Gestion de incidentes — una filtracion de datos financieros seria muy grave | Media |
| Politica de Privacidad | Generar la politica obligatoria Art. 14 ter a partir del RAT | Alta |
| Governance | Reportes basicos de cumplimiento para tranquilidad del socio director | Baja |
| CMP | Solo si tiene sitio web con formularios o cookies de terceros | Baja |
| DPIA | No requerido inicialmente (no trata datos sensibles a gran escala) | Baja |
Paso a paso de implementacion
Semana 1: Configuracion rapida
- Solicitar acceso a DPOLab con plan Starter
- Completar el onboarding: datos de la empresa, RUT, representante legal
- Asignar al socio director o al gerente de TI como responsable de proteccion de datos (no necesita ser un DPO formal, pero alguien debe supervisar)
- Invitar a 1-2 personas clave del equipo
Semana 2-3: Registro de actividades (RAT)
Registrar las actividades de tratamiento — una PYME tipica tiene entre 4-6:
- Gestion de clientes (contabilidad) — Base legal: contrato. Datos: RUT, nombre, datos financieros y tributarios
- Gestion de empleados — Base legal: obligacion legal. Datos: nombre, RUT, remuneraciones, prevision
- Facturacion y cobranza — Base legal: contrato. Datos: razon social, RUT, contacto
- Correo electronico y comunicaciones — Base legal: interes legitimo. Datos: nombre, email
- Archivo tributario — Base legal: obligacion legal. Datos: declaraciones, balances, datos de clientes
Semana 3-4: Mapa de datos y ARSOP
- Registrar sistemas en el mapa de datos:
- Software contable (ej: Nubox, Bsale)
- Google Workspace
- Carpetas compartidas / servidor de archivos
- Software de remuneraciones
- Instalar widget ARSOP en el sitio web (si tiene) o configurar un correo dedicado para solicitudes de derechos
- Definir un proceso simple: quien recibe la solicitud, quien la atiende, quien aprueba la respuesta
Semana 5: Politica de privacidad
- Ir a Politica de Privacidad y hacer clic en "Generar Politica"
- DPOLab genera automaticamente las 12 secciones del Art. 14 ter a partir del RAT completado
- Revisar las secciones — completar las que aparezcan en amarillo o rojo (ej: datos de contacto ARCO, origen de datos)
- Personalizar la seccion de decisiones automatizadas si aplica
- Publicar la politica (queda versionada con fecha y numero)
- Descargar el PDF para archivo y publicar el texto en el sitio web de la empresa
Semana 6: Contratos y governance
- Redactar contratos de encargado de tratamiento para sus 200 clientes (DPOLab genera plantillas)
- Enviar contratos a los clientes para firma
- Generar primer reporte de cumplimiento
- Capacitar al equipo (sesion de 1 hora sobre que hacer si llega una solicitud ARSOP)
Tiempo estimado para cumplir
| Fase | Duracion | Dedicacion |
|---|---|---|
| Configuracion y onboarding | 1 semana | 2-3 horas |
| RAT | 2 semanas | 2-3 horas/semana |
| Mapa de datos y ARSOP | 2 semanas | 2-3 horas/semana |
| Politica de privacidad | 1 semana | 1-2 horas |
| Contratos y governance | 1 semana | 3-4 horas/semana |
| Total | 6 semanas | ~22-28 horas totales |
Con el plan Starter de DPOLab (~USD 49/mes), Contaplus puede cumplir con la ley sin contratar un DPO externo ni un abogado especializado. El socio director dedica 2-3 horas semanales a la gestion de datos y el sistema se encarga del resto.
Errores comunes en PYMES
⚠️
"Soy PYME, la ley no me aplica" — Falso. La Ley 21.719 aplica a todas las organizaciones sin excepcion de tamano. Una PYME puede ser sancionada igual que una multinacional.
- No tener RAT — El registro es obligatorio aunque solo tengas 5 empleados
- No tener canal ARSOP — Si un empleado o cliente pide acceso a sus datos, debes poder responder en 30 dias corridos
- Ignorar el rol de encargado — Si procesas datos por cuenta de otros (como un estudio contable), necesitas contratos especificos
- Guardar datos "por si acaso" — La ley exige que solo conserves datos mientras sean necesarios para su finalidad
- Usar Excel para todo — No hay problema con Excel, pero necesitas poder demostrar que cumples (trazabilidad)
- No publicar la politica de privacidad — El Art. 14 ter exige que la politica este disponible permanentemente al publico, con fecha y version