La Superintendencia de Protección de Datos actualiza su guía clave con la Versión 2 de gestión de riesgos

La Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales de la Superintendencia de Protección de Datos Personales (SPDP) publicó la segunda versión de su Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales.

No se trata de una actualización menor. Esta nueva versión:

• Introduce definiciones adicionales.

• Amplía los métodos de análisis aceptados.

• Incorpora orientación específica para PYMES.

• Incluye un caso de estudio completo que funciona como guía práctica paso a paso.

Aunque mantiene su estructura general —principios fundamentales y procedimientos por etapa— varios capítulos han sido sustancialmente fortalecidos.

¿Por qué importa?

Si tu organización trata datos personales —sin importar tamaño o sector— esta actualización tiene implicaciones directas.

La guía es el principal referente de la SPDP para evaluar si una organización gestiona adecuadamente los riesgos.

Una evaluación de impacto que no incorpore estos nuevos criterios puede quedar rápidamente desactualizada.

Tres cambios clave:

• Mayor flexibilidad metodológica para PYMES y estudios jurídicos: se reconocen enfoques híbridos (cualitativos + cuantitativos), reduciendo la barrera técnica de cumplimiento.

• Refuerzo del Registro de Actividades del Tratamiento (RAT): se consolida como herramienta base para identificar riesgos, en línea con el Reglamento a la LOPDP.

• Uso de tecnología en la gestión de riesgos: se introduce orientación sobre herramientas como inteligencia artificial y análisis de datos, elevando el estándar para organizaciones con mayor capacidad técnica.

¿Qué deberías hacer ahora?

• Revisa tus evaluaciones de impacto: verifica que metodologías, criterios y justificaciones estén alineados con la nueva versión.

• Asegúrate de contar con un RAT actualizado: la guía lo posiciona como punto de partida clave.

• Si eres institución pública: considera el EGSI como marco complementario, siempre integrado con los principios de la guía.

• Evalúa tus relaciones con terceros: confirma que sus contratos (nube, marketing, proveedores) reflejen los nuevos estándares de gestión de riesgos de terceros (TPRM).

Plazo recomendado: próximos 60 días.

La Versión 2 confirma un cambio de fondo porque el organnismo regulador ya no evalúa solo el cumplimiento formal, sino la consistencia real de la gestión de riesgos.

Hay que demostrar que los riesgos están bien identificados, medidos y gestionados en la práctica. La incorporación de herramientas como NLP, análisis bayesiano o modelos predictivos eleva el estándar para organizaciones grandes. Al mismo tiempo, la guía abre una ruta más accesible y escalable para las más pequeñas.

Este es el momento para auditar tu nivel real de cumplimiento.