Flujos de Aprobación
El motor de flujos de aprobación de DPOLab gestiona los procesos de revisión de todos los módulos con ciclo de revisión. En lugar de una lógica de estados fija, el DPO (Data Protection Officer), también denominado DPD (Delegado de Protección de Datos) en la legislación chilena, puede diseñar etapas con roles, plazos, lógica condicional y aprobaciones paralelas adaptadas a la operación del tenant.
Requisitos regulatorios
La Ley 21.719 exige que ciertos tratamientos y documentos sean revisados y aprobados antes de ser vigentes: el RAT debe ser actualizado y supervisado, las evaluaciones de impacto (DPIA) deben ser aprobadas por el responsable, los contratos con encargados requieren firma, y las políticas de privacidad deben publicarse formalmente. El motor de flujos formaliza esos procesos de revisión y genera un registro de auditoría completo.
Cómo acceder
El diseñador de flujos vive en Configuración → Flujos de trabajo.
El panel del flujo de una entidad específica (ARSOP, Brecha, DPIA, etc.) se muestra en el detalle de cada entidad, en el componente de flujo de aprobación.
Control de acceso:
| Rol | Ver flujos | Crear y editar definiciones | Ejecutar acciones (aprobar, rechazar) |
|---|---|---|---|
| Propietario (Owner) | Sí | Sí | Sí (según rol de la etapa) |
| Administrador | Sí | Sí | Sí (según rol de la etapa) |
| DPO | Sí | Sí | Sí (según rol de la etapa) |
| Analista | Sí | No | Sí (si la etapa requiere Analista o superior) |
| Visualizador | Sí | No | No |
Funcionalidades principales
- Inicio automático al crear: todos los módulos inician el flujo automáticamente al crear la entidad. No hay estados "sin flujo".
- Definición inmutable: al iniciar una instancia, el motor guarda una copia de la definición. Cambios futuros no afectan instancias en curso.
- Completado automático: cuando se aprueba la última etapa, el motor cierra la entidad automáticamente (publica la política, cierra la brecha, aprueba la DPIA, etc.).
- Lógica condicional: bifurca el flujo según los valores de los campos personalizados completados en cada etapa.
- Aprobaciones paralelas: define tareas que deben completarse simultáneamente antes de que la etapa principal avance.
- Plazo por etapa: límite máximo en días con alertas automáticas por correo (revisión diaria).
- Notificaciones externas: informa a sistemas externos cuando una etapa cambia de estado (Professional en adelante).
- Métricas: visualiza el tiempo promedio por etapa, la tasa de rechazo y los cuellos de botella.
Diferencia entre plan Starter y Professional en adelante
Esta distinción es fundamental. El plan Starter incluye aprobación simple por defecto; los flujos configurables con múltiples etapas, plazos y lógica condicional requieren plan Professional o superior.
| Capacidad | Starter | Professional | Business | Enterprise |
|---|---|---|---|---|
| Flujo por defecto (1 etapa, DPO u Owner) | Sí | Sí | Sí | Sí |
| Definiciones configurables | 7 | 15 | Sin límite | Sin límite |
| Múltiples etapas secuenciales | No | Sí | Sí | Sí |
| Plazo por etapa (SLA) | No | Sí | Sí | Sí |
| Lógica condicional | No | Sí | Sí | Sí |
| Aprobaciones paralelas | No | Sí | Sí | Sí |
| Notificaciones a sistemas externos | No | Sí | Sí | Sí |
Flujo por defecto (Starter):
- 1 sola etapa de aprobación.
- Aprobador: cualquier usuario con rol DPO u Owner.
- No es configurable (no se pueden agregar etapas ni cambiar el aprobador).
- El Starter tiene 7 flujos por defecto: uno por cada módulo con ciclo de revisión (RAT, ARSOP, Brechas, DPIA, Contratos, Política de Privacidad, Política de Cookies), alineados con el mínimo legal.
Flujos configurables (Professional en adelante):
- Múltiples etapas con roles, plazos y acciones configurables por etapa.
- Lógica condicional: bifurca el flujo según valores de campos personalizados.
- Aprobaciones paralelas: varias áreas aprueban antes de que la etapa avance.
- Notificaciones firmadas a sistemas externos al completar etapas.
Módulos que usan el motor de flujos
Todos los módulos con ciclo de revisión pasan obligatoriamente por el motor:
| Módulo | El flujo inicia cuando... | Al completarse, el motor... |
|---|---|---|
| RAT | Se crea la actividad | Activa la actividad |
| ARSOP | La solicitud pasa a "En progreso" | Marca la solicitud como Completada |
| Brechas | El incidente pasa a "Evaluando" | Cierra la brecha |
| DPIA | Se envía a revisión | Aprueba la evaluación |
| Contratos | Se envía para firma | Sin acción automática adicional |
| Política de Privacidad | Se solicita la publicación | Publica la política |
| Política de Cookies | No aplica — publicación directa | — |
Los estados terminales de aprobación (Activa, Aprobada, Publicada, Cerrada, Completada) solo los puede establecer el motor de flujos. Un intento manual de transicionar a esos estados desde la API retorna un error de conflicto.
Conceptos clave
| Concepto | Descripción |
|---|---|
| Definición | Plantilla del flujo: nombre, módulo asociado, etapas y configuración |
| Etapa | Paso del flujo con rol requerido, acciones posibles, plazo y campos personalizados |
| Instancia | Ejecución concreta del flujo sobre una entidad (por ejemplo, un ARSOP específico) |
| Copia inmutable | Captura de la definición al iniciar la instancia; cambios futuros no la afectan |
| Tarea paralela | Tarea dentro de una etapa que debe completarse antes de que la etapa principal avance |
Paso a paso — crear un flujo configurable
Accede al diseñador
Navega a Configuración → Flujos de trabajo y haz clic en Nuevo flujo.
Define la información básica
- Nombre: describe el flujo (por ejemplo, "Revisión ARSOP con departamento legal").
- Descripción: contexto sobre cuándo y por qué aplica.
- Módulo asociado: selecciona el tipo de entidad al que se aplicará (RAT, ARSOP, Brechas, DPIA, Contratos, Política de Privacidad, Política de Cookies o Personalizado).
Diseña las etapas
Para cada etapa configura:
- Nombre y descripción: instrucciones para el responsable de la etapa.
- Rol mínimo requerido: Visualizador → Analista → DPO → Administrador → Propietario.
- Acciones disponibles: Aprobar (avanza), Rechazar (retrocede), Solicitar información (pausa sin cambiar etapa), Reasignar.
- Plazo: límite máximo en días con umbral de alerta anticipada.
- Campos personalizados: datos que el actor debe completar al ejecutar una acción.
- Condiciones: reglas que bifurcan el flujo según los campos completados.
- Tareas paralelas: actividades que deben completarse simultáneamente antes de que la etapa avance.
Activa el flujo
Al confirmar, el flujo queda activo de inmediato. Las nuevas instancias de ese módulo usarán esta definición en lugar del flujo por defecto.
Tipos de acción
| Acción | Efecto | Uso típico |
|---|---|---|
| Aprobar | Avanza a la siguiente etapa (o completa si es la última) | Validar que la etapa cumple los requisitos |
| Rechazar | Retrocede a la etapa anterior | Devolver con observaciones |
| Solicitar información | No cambia de etapa; registra el evento | Pedir antecedentes adicionales |
| Reasignar | No cambia de etapa; actualiza el responsable | Derivar a otro miembro del equipo |
Campos personalizados por etapa
| Tipo | Descripción |
|---|---|
| Texto | Campo de texto corto |
| Texto largo | Área de texto multilínea |
| Selección | Lista desplegable con opciones predefinidas |
| Casilla | Verdadero o falso |
| Fecha | Selector de fecha |
| Archivo | Referencia a un documento adjunto |
Los valores se almacenan en el historial del evento y quedan disponibles para auditoría.
Alertas de plazo
Cada etapa puede tener un plazo máximo configurado en días:
- Indicador visual: verde (en plazo), ámbar (próximo a vencer), rojo (vencido).
- Revisión diaria: verifica todas las instancias activas y envía notificaciones cuando una etapa está por vencer o ya venció.
- Tipos de alerta: advertencia de plazo (días restantes menores al umbral configurado) y plazo vencido.
Notificaciones por correo
| Evento | Destinatario |
|---|---|
| Acción ejecutada en etapa | Creador del flujo |
| Flujo completado | Creador del flujo |
| Nueva etapa asignada | Todos los usuarios con el rol requerido |
| Plazo próximo a vencer | Creador del flujo |
| Plazo vencido | Creador del flujo |
Notificaciones a sistemas externos (Professional en adelante)
Puedes configurar que DPOLab notifique a una URL externa cuando ocurren eventos en el flujo:
| Campo | Descripción |
|---|---|
| URL | Dirección HTTPS que recibirá las notificaciones |
| Eventos | Inicio, completado, aprobación, rechazo, solicitud de información, reasignación, o todos |
| Secreto de firma | Clave para verificar la autenticidad de la notificación recibida (el detalle técnico está en la referencia API — Flujos) |
Las URLs internas (localhost, IPs privadas) están bloqueadas.
Restricciones por plan
- Starter: 7 flujos (mínimo legal, 1 por módulo canónico con ciclo de revisión), no configurables.
- Professional: 15 flujos configurables con todas las capacidades avanzadas.
- Business y Enterprise: flujos ilimitados.
Relación con otros módulos
El motor de flujos es transversal a toda la plataforma:
- RAT, ARSOP, Brechas, DPIA, Contratos, Política de Privacidad: todos inician el flujo automáticamente al crear la entidad y solo el motor puede llevarlos a su estado terminal de aprobación.
- CMP / Notificaciones externas: las definiciones de flujo pueden emitir notificaciones al completar etapas, conectando el flujo de aprobación con sistemas externos.
- Configuración del tenant: las definiciones de flujo se administran en la sección de Configuración y son compartidas por todos los usuarios del tenant.