La entrada en vigor de la nueva Ley N.º 7593/2025 de Protección de Datos Personales marcará un cambio significativo en la forma en que las organizaciones administran la información de clientes, colaboradores, proveedores y terceros. Muchas empresas creen que cumplir con la nueva legislación consistirá únicamente en publicar una política de privacidad o actualizar un formulario de consentimiento.

La protección de datos personales deberá formar parte de la gestión diaria de la organización mediante políticas, procedimientos, registros, controles y evidencias documentadas que permitan demostrar el cumplimiento de la normativa. En otras palabras, la privacidad dejará de ser una declaración de buenas intenciones para convertirse en un sistema de gestión basado en procesos.

---

La documentación será la principal evidencia del cumplimiento

Esto significa que no bastará con afirmar que se protege la información.

Será necesario contar con evidencia objetiva.

La documentación será precisamente esa evidencia.

Será la forma de demostrar que existen reglas, responsabilidades, controles y mecanismos para proteger los datos personales durante todo su ciclo de vida.

---

¿Por qué será tan importante documentar?

Imaginemos la siguiente situación.

Un ciudadano solicita conocer qué información posee una empresa sobre él.

La organización responde que respeta la privacidad de sus clientes.

Sin embargo, cuando se le solicita demostrar:

• dónde están almacenados los datos,
• quién puede acceder a ellos,
• durante cuánto tiempo se conservan,
• qué procedimiento existe para eliminarlos,

No puede presentar ninguna evidencia.

En ese momento el problema ya no es únicamente técnico.

Es un problema de gestión.

---

La documentación permite organizar toda la gestión

La documentación cumple múltiples funciones dentro de una organización.

No solamente sirve para cumplir la ley.

También permite:

• Definir responsabilidades.
• Estandarizar procesos.
• Capacitar colaboradores.
• Reducir errores.
• Facilitar auditorías.
• Demostrar cumplimiento.
• Gestionar riesgos.
• Mejorar continuamente.

Por ello, las empresas que ya trabajan con normas ISO encontrarán este enfoque muy familiar.

---

¿Qué tipo de documentos comenzarán a ser necesarios?

Aunque la reglamentación definirá muchos aspectos específicos, existen documentos que probablemente pasarán a formar parte de la gestión cotidiana.

Documento	Finalidad
Política de Protección de Datos Personales	Define el compromiso de la organización con la privacidad.
Procedimiento para el tratamiento de datos personales	Establece cómo se recopilan, utilizan, almacenan y eliminan los datos.
Inventario de datos personales	Identifica qué información posee la organización y dónde se encuentra.
Registro de actividades de tratamiento	Documenta los procesos donde se utilizan datos personales.
Procedimiento para atención de derechos	Describe cómo responder solicitudes de acceso, rectificación, oposición o eliminación.
Procedimiento para gestión de incidentes	Define la actuación frente a filtraciones o brechas de seguridad.
Política de retención y eliminación	Establece cuánto tiempo se conservan los datos y cuándo deben eliminarse.

Estos documentos representan únicamente una parte de la documentación que podría desarrollarse.

En futuros artículos analizaremos cada uno con mayor profundidad.

---

Mucho más que documentos

La documentación por sí sola no garantiza el cumplimiento.

Debe estar respaldada por registros que demuestren que realmente se aplica.

Por ejemplo:

• Solicitudes de acceso recibidas.
• Registros de actualización de datos.
• Evidencias de capacitación.
• Historial de incidentes.
• Registros de respaldo.
• Autorizaciones de tratamiento.
• Controles de acceso.
• Evaluaciones de riesgos.

Los registros son la prueba de que los procedimientos funcionan.

---

El papel de las políticas

Una política constituye la declaración oficial de la organización respecto a un determinado tema.

En materia de privacidad, la política deberá establecer aspectos como:

• Compromiso de la dirección.
• Principios de tratamiento.
• Protección de los derechos de los titulares.
• Cumplimiento legal.
• Mejora continua.
• Responsabilidades generales.

La política representa el punto de partida de todo el sistema.

---

Los procedimientos convierten la política en acciones

Mientras la política responde al qué, los procedimientos responden al cómo.

Por ejemplo.

Una política puede indicar que la organización protegerá los datos personales.

El procedimiento deberá explicar:

• Cómo se reciben.
• Cómo se clasifican.
• Quién puede acceder.
• Cómo se respaldan.
• Cuándo se eliminan.
• Qué hacer ante un incidente.

Es decir, transforma los principios en actividades concretas.

---

ISO/IEC 27001: una ventaja importante

Las organizaciones que ya implementan un Sistema de Gestión de Seguridad de la Información basado en ISO/IEC 27001 cuentan con una ventaja significativa.

Muchos de los documentos exigidos por la norma ya contribuyen indirectamente al cumplimiento de la nueva legislación.

Por ejemplo:

Documento de ISO/IEC 27001	Aporte al cumplimiento
Política de Seguridad de la Información	Base para proteger los datos personales.
Inventario de activos	Identificación de la información.
Evaluación de riesgos	Identificación de amenazas sobre los datos.
Control de accesos	Protección contra accesos no autorizados.
Gestión de incidentes	Respuesta ante brechas de seguridad.
Gestión documental	Control de versiones y evidencias.

ISO 27001 no reemplaza la ley, pero proporciona una estructura sólida para demostrar que la información es gestionada de manera organizada y segura.

---

ISO/IEC 27701: cuando la privacidad se documenta

Si ISO 27001 protege la información, ISO/IEC 27701 amplía el sistema hacia la gestión de la privacidad.

Esta norma incorpora documentación específica relacionada con:

• Consentimiento.
• Derechos de los titulares.
• Tratamiento de datos personales.
• Conservación de registros.
• Transferencias internacionales.
• Gestión de privacidad.
• Responsabilidades del controlador y del encargado.

En la práctica, ISO/IEC 27701 ayuda a convertir la nueva ley en procesos documentados y auditables.

---

¿Será necesario crear todos los documentos desde cero?

No necesariamente.

Muchas organizaciones ya cuentan con:

• Manuales.
• Procedimientos.
• Reglamentos internos.
• Políticas corporativas.
• Sistemas ISO.
• Procedimientos de Recursos Humanos.
• Documentación informática.

En muchos casos será posible actualizar esa documentación para incorporar los nuevos requisitos relacionados con la protección de datos personales.

La adaptación suele ser más eficiente que comenzar desde cero.

---

La documentación como parte de la cultura organizacional

Uno de los errores más frecuentes consiste en elaborar documentos únicamente para cumplir una auditoría.

La protección de datos exige algo diferente.

• Los documentos deberán utilizarse diariamente.
• Cada colaborador deberá conocer sus responsabilidades.
• Cada proceso deberá seguir procedimientos definidos.
• Cada incidente deberá registrarse.
• Cada mejora deberá documentarse.
• Solo así la documentación dejará de ser un archivo olvidado y pasará a formar parte de la cultura organizacional.

---

Conclusión

La nueva Ley N.º 7593/2025 representa mucho más que una obligación legal.

Obliga a las organizaciones a gestionar los datos personales mediante procesos estructurados, responsabilidades definidas y evidencia documentada.

Las empresas que comiencen a desarrollar esta documentación desde ahora no solo estarán mejor preparadas para cumplir la legislación, sino que también fortalecerán su seguridad de la información, mejorarán sus procesos internos y aumentarán la confianza de clientes, proveedores y partes interesadas.

La documentación no debe verse como un requisito burocrático.

Debe entenderse como la base sobre la cual se construye un verdadero sistema de gestión de la privacidad.

---