Documentación interna

Guía Rápida.

Protección de Datos Personales — para abogados que parten un proyecto PDP

Material de inducción · v1.0 · Abril 2026

Guía / 01

Introducción

Para qué sirve esta guía

Una hoja de ruta corta para llegar al primer entregable PDP sin extraviarse.

01

Audiencia. Abogados/as recién asignados a un proyecto de cumplimiento PDP. No requiere experiencia previa con la plataforma — sí familiaridad básica con las leyes chilenas de datos personales.

02

Objetivo. Que el equipo abra un proyecto, recolecte los antecedentes de Etapa 0 y produzca el Informe de Diagnóstico (Entregable 1, primer hito visible al cliente) — un proceso que distribuido en varias sesiones toma típicamente 2-3 días de trabajo efectivo.

03

Qué no es. No reemplaza la formación en derecho de datos. La plataforma automatiza tareas repetitivas — el criterio jurídico sigue siendo del abogado.

04

Cómo leer esta guía. Ir slide por slide la primera vez (~15 minutos); después usarla como referencia rápida cuando aparezca una duda en medio de un proyecto.

Para profundizar en la operación de la plataforma, ver Introducción (botón en el menú Cuenta). Para el documento maestro de diseño del flujo PDP, consultar docs/consultoria_proteccion_datos_personales.md en el repositorio.

Marco legal

Las cuatro normas que importan

El régimen chileno de PDP no es una sola ley — es una pila normativa.

Constitución, art. 19 N°4: Reconoce el derecho a la protección de datos personales como derecho fundamental. Reforma constitucional Ley 21.096 (2018). Es la base jerárquica.
Ley 19.628 (1999): Régimen previo: protección de la vida privada y datos personales. Vigente hasta diciembre 2026. Desfasada: deber genérico, sin Agencia, sanciones débiles.
Ley 20.575 (2012): Régimen específico: protección de datos comerciales y financieros (Boletín Comercial, DICOM). Convive con la Ley 21.719 — no la deroga.
Ley 21.719 (2024): La nueva ley. Vigente desde diciembre 2026. Crea la Agencia de Protección de Datos, define principios (licitud, finalidad, proporcionalidad, calidad, seguridad, responsabilidad), eleva sanciones (hasta UTM 20.000), e incorpora figuras como DPO, RAT, EIPD y notificación de brechas.

La trayectoria PDP de la plataforma asume el régimen de la Ley 21.719 como referencia principal. Para clientes que aún operan bajo Ley 19.628, el equipo legal afina los deliverables (no son las mismas obligaciones).

Marco legal

Línea de tiempo del régimen chileno

Casi 30 años entre la primera regulación y la nueva ley moderna.

1999

Ley 19.628. Primer régimen sobre vida privada y datos personales. Marco débil sin órgano de control.

2012

Ley 20.575. Datos comerciales: regulación específica del Boletín Comercial y prácticas DICOM.

2018

Reforma constitucional. Art. 19 N°4 incorpora la protección de datos como derecho fundamental.

2024 → 2026

Ley 21.719. Publicada 2024, vigente diciembre 2026. Régimen homologable a GDPR. Creación de la Agencia.

          La fecha de entrada en vigencia (diciembre 2026) es la presión que viven los
          clientes hoy: necesitan estar listos antes de esa fecha o exponerse a sanciones.
        

Pista útil: cuando el cliente pregunte "¿esto ya rige?" — la respuesta es: la ley está publicada, las sanciones empiezan en diciembre 2026, los preparativos deben estar listos antes. No esperen al 2 de diciembre para empezar.

Conceptos clave

El vocabulario mínimo

Términos que vas a usar todos los días — definirlos bien evita confusión con el cliente.

SUJETOS

Titular · Responsable · Encargado

Titular: persona natural cuyos datos se tratan. Responsable: quien decide finalidades del tratamiento (el cliente). Encargado: tercero que trata datos por instrucción del responsable (un SaaS, un proveedor de marketing).

DERECHOS

ARCO + portabilidad + bloqueo

Derechos del titular: Acceso, Rectificación, Cancelación, Oposición. La Ley 21.719 agrega portabilidad y bloqueo. Plazo de respuesta: 15 días hábiles.

BASES DE LICITUD

Las 6 razones legítimas

Consentimiento, ejecución de contrato, obligación legal, interés vital, interés público, interés legítimo. Toda actividad de tratamiento debe encajar en al menos una. Sin base = ilegal.

DATOS SENSIBLES

Tratamiento restringido

Salud, origen racial/étnico, opiniones políticas, vida sexual, biométricos. Requieren consentimiento expreso o ley habilitante específica. Casi siempre exigen EIPD.

Si el cliente no distingue entre "responsable" y "encargado", es la primera tarea pedagógica. La distinción aterriza obligaciones distintas (el responsable carga con la mayor parte).

Cuándo iniciar

Cuándo iniciar un proyecto PDP

Triggers reales que detonan la apertura de un proyecto en la plataforma.

Triggers explícitos

Cliente pide auditoría / diagnóstico de cumplimiento PDP.
Cliente recibe consulta o requerimiento de la Agencia.
Cliente sufrió o detectó una posible brecha de seguridad.
Cliente firma contrato con responsable que exige ser encargado certificado.
Cliente debe responder ARCO masivos (campañas, denuncias).
Cliente necesita designar un DPO antes de diciembre 2026.

Triggers implícitos (radar)

Cliente menciona que está implementando un nuevo CRM o ERP.
Cliente lanza un programa de fidelización o app móvil.
Cliente exporta datos a casa matriz fuera de Chile.
Cliente contrata SaaS de IA con datos personales.
Cliente reorganiza sus áreas y crea acceso cruzado a datos.
Cliente compra otra empresa (due diligence PDP).

          Regla práctica: ante un trigger explícito → abrir proyecto. Ante uno
          implícito → consultar al socio responsable y, si hay luz verde, abrir proyecto con scope
          reducido (solo etapa I).
        

Trayectoria PDP

Las cinco etapas del proceso AltLegal

Treinta pasos distribuidos en cinco etapas, alineados con el catálogo de 23 entregables del proceso.

ETAPA 0

Levantamiento

10Onboarding 20Normativa aplicable 30Formulario levantamiento

ETAPA 1

Diagnóstico y concientización

100-150Informe (Ent. 1) 160Charla gerencia (Ent. 2) 165Charla trabajadores (Ent. 3)

ETAPA 2

Implementación inicial

200-260Políticas, avisos, RIOHS (Ent. 4-7)

ETAPA 3

Mapeo de datos

300Mapa de Datos (Ent. 8) 310RAT (Ent. 9)

ETAPA 4 + 5

Cierre brechas + Manual

400-470Políticas cierre (Ent. 13-20) 500-520Manual + Soporte (Ent. 21-23)

Cada paso es una sesión separada en la plataforma. El stepper visual del proyecto muestra los pasos completados, el actual y los pendientes — el abogado retoma desde donde quedó. La trayectoria es flexible: el modo LIGHT incluye un subset de entregables, no es necesario completar todos. Los pasos pueden saltarse según el alcance contratado.

Trayectoria — operación

Cómo se trabaja en la plataforma

El flujo entre pasos, entregables y miembros del equipo.

01

Cada paso es una sesión nueva

Al abrir un paso disponible se crea una sesión de chat dedicada. Los entregables aprobados de pasos previos se inyectan automáticamente al system prompt como contexto — no hay que copiar y pegar nada entre pasos.

02

Borrador → entregable aprobado

Cuando el agente termina, registra el output como artefacto en estado draft (panel "Artefactos"). El paso queda visible como pendiente de aprobación. Un administrador revisa el contenido y lo aprueba — recién ahí el stepper marca el paso como completado y el siguiente paso se desbloquea.

03

Trabajo en equipo (handoff)

Las sesiones de un proyecto son visibles para cualquier miembro del estudio en la sección "Actividad del proyecto". Un segundo abogado puede leer todas las conversaciones para entender cómo se llegó al estado actual, pero solo el dueño de cada sesión puede continuarla — los demás trabajan en sesiones nuevas.

04

Vincula Drive antes que nada

Algunos pasos producen Google Docs nativos (Mapa, RAT, Informe Final, Manual). Para que esos docs vivan en la carpeta del cliente, vincula el folder de Drive desde el botón "Vincular Drive" en el header del proyecto antes del paso 40. Sin folder vinculado, esos pasos retornan error en vez de generar docs huérfanos.

Trayectoria — Etapas 0 y 1

Levantamiento + Diagnóstico inicial

El levantamiento es el cimiento del proceso — el Informe de Diagnóstico (Entregable 1) es el primer hito visible al cliente.

10–30

Etapa 0 — Levantamiento del cliente

Tres pasos secuenciales: onboarding (ficha del proyecto), búsqueda de normativa aplicable (sectorial + general), asistente del formulario de levantamiento (entrevista estructurada, con anonimización DLP previa). Etapa habilitante de todo lo siguiente.

100–150

Entregable 1 — Informe de Diagnóstico e Identificación de Brechas

El primer gran hito del proyecto. Se construye en seis sub-pasos: contexto del cliente (interno), Sección I (levantamiento normativo), Sección II (caracterización), Sección III (9 ejes de brechas con recomendaciones), Sección IV (hoja de ruta calendarizada), y ensamblado final. Los pasos largos usan multi-turn automático (5–12 sub-prompts internos por paso).

160 / 165

Entregables 2 y 3 — Charlas de concientización

Apoyo conversacional para construir las dos presentaciones (alta gerencia y trabajadores). El sistema NO produce el .pptx: entrega estructura de slides, contenido por slide, speaker notes, y anticipa preguntas. El abogado del estudio arma la presentación final con este material.

Trayectoria — Etapas 2, 3, 4 y 5

De la implementación al manual interno

Las cuatro etapas operativas: 17 entregables que arman el cumplimiento del cliente.

200–260

Etapa 2 — Implementación inicial (Ent. 4–7)

Siete instrumentos públicos y de cara al titular: política privacidad web (4a), avisos 1ª capa (4b), política cookies (4c), carteles videovigilancia (4d), avisos privacidad internos para candidatos y trabajadores (5), cláusulas tipo para contratos con trabajadores/proveedores/clientes (6), actualización del RIOHS (7). Ejecutable en paralelo a la Etapa 1 — no requiere el Informe completo.

300 / 310

Etapa 3 — Mapeo de datos (Ent. 8 y 9)

Mapa de Datos: inventario consolidado de bases, registros, sistemas, flujos entre unidades, shadow data, destinatarios y transferencias. RAT: ficha por cada actividad de tratamiento. Ambos son Google Doc. Requiere el Informe Diagnóstico (Ent. 1) aprobado — Mapa y RAT refinan las brechas del diagnóstico con la realidad granular de los datos.

400–470

Etapa 4 — Cierre de brechas (Ent. 13–20)

Ocho instrumentos: políticas de clasificación (13), retención y destrucción (14), anonimización y seudonimización (15), informe conformidad seguridad TI (16), formularios consentimiento (17), metodología EIPD (18), acta nombramiento DPO (19), cláusulas TID para transferencias internacionales (20). Requiere ambos: Informe (Ent. 1) + Mapa y RAT (Ent. 8 y 9) aprobados.

500–520

Etapa 5 — Tramitación, validación y soporte (Ent. 21–23)

Manual de Procedimientos Internos (Ent. 21): el gran entregable final que consolida gobernanza, RAT, ARSOPOL, brechas, EIPD, encargados, TID, y auditoría interna. Tramitación ante la Autoridad (Ent. 22) y Soporte Continuo / DPO (Ent. 23): apoyo conversacional sin artefacto formal — minutas y orientación según el cliente lo requiera.

Herramientas — Privacidad

Anonimización con Cloud DLP

Antes que un documento sensible llegue al modelo, se redacta automáticamente.

ENTRADA

Documento original

Carpeta privada del estudio en Drive. Incluye RUT, nombres, correos, direcciones, teléfonos. Nunca llega al LLM.

→

PROCESO

DLP redacta

Modos: MINIMAL · BALANCED · CLEAN. PDP usa BALANCED por defecto. Detección por categorías (PII chilena específica).

→

SALIDA

Versión .anon.docx

Asociada al matter. Esta es la versión que el agente lee. Si el archivo ya fue anonimizado antes, se reutiliza (idempotente).

          Privacidad como pre-condición, no como auditoría posterior. El abogado
          decide explícitamente cuándo desactivar la anonimización (rara vez) — el default es
          siempre anonimizar.
        

La herramienta se invoca automáticamente en el paso 30 (formulario), y manualmente con el botón 📎 Anonimizar en cualquier conversación. La operación tarda 20–60 segundos según el tamaño del archivo.

Entregables

Qué produce un proyecto PDP completo

Hasta 23 entregables distribuidos en las 5 etapas — el cliente decide cuáles necesita.

1

Informe de Diagnóstico e Identificación de Brechas

Google Doc · Etapa 1

2

Charla alta gerencia

Apoyo (sin pptx) · Etapa 1

3

Charla trabajadores

Apoyo (sin pptx) · Etapa 1

4a

Política Privacidad web/app

Documento · Etapa 2

4b

Avisos privacidad 1ª capa

Documento · Etapa 2

4c

Política de cookies

Documento · Etapa 2

4d

Cartel videovigilancia

Documento · Etapa 2

5

Avisos privacidad internos

Documento · Etapa 2

6

Cláusulas tipo contratos

Documento · Etapa 2

7

Actualización RIOHS

Documento · Etapa 2

8

Mapa de Datos

Google Doc · Etapa 3

9

RAT — Registro Actividades

Google Doc · Etapa 3

13

Política clasificación datos

Documento · Etapa 4

14

Política retención y destrucción

Documento · Etapa 4

15

Política anonimización

Documento · Etapa 4

16

Conformidad seguridad TI

Informe · Etapa 4

17

Formularios consentimiento

Documento · Etapa 4

18

Metodología EIPD

Documento · Etapa 4

19

Acta nombramiento DPO

Documento · Etapa 4

20

Cláusulas TID

Documento · Etapa 4

21

Manual de Procedimientos Internos

Google Doc · Etapa 5

22

Tramitación Autoridad

Apoyo · Etapa 5

23

Soporte Continuo (DPO/Legal)

Apoyo · Etapa 5

La firma ofrece dos modalidades: FULL (los 23 entregables) y LIGHT (subset acotado del catálogo). Los entregables 10, 11 y 12 quedan integrados en otros (10-11 en el Informe Ent. 1; 12 en el Manual Ent. 21) — no aparecen como instrumentos separados.

Casos transversales

Dos herramientas de apoyo continuo

Casos que no pertenecen a una etapa específica — se invocan a discreción.

PASO TRANSVERSAL

Consulta de normativa

Pregunta puntual del cliente o del equipo: "¿Qué dice el art. X sobre Y?", "¿Cuál es el plazo para responder un ARCO?". El agente cita la norma y artículo. Útil durante cualquier etapa del proyecto, sin requerir que haya un proyecto abierto.

PASO TRANSVERSAL

Respuesta a brecha

Plan de respuesta cuando el cliente detecta una posible brecha de seguridad: contención, evaluación, notificación a la Agencia de Protección de Datos (plazo 72 horas), comunicación a titulares, documentación interna. Apoyo conversacional durante el incidente — no genera artefacto formal porque la respuesta operativa la ejecuta el cliente.

Los demás casos del catálogo (EIPD, política privacidad, etc.) ahora forman parte de la trayectoria con su paso asignado. Estos transversales son los únicos sin paso numérico — se invocan cuando se necesitan, sin afectar el avance del proyecto.

Roles y permisos

Quién hace qué

Modelo binario: administrador del estudio o miembro del equipo.

Cualquier miembro: Crear y abrir proyectos. Iniciar pasos disponibles. Producir borradores de entregables. Adjuntar documentos. Anonimizar con DLP. Eliminar y renombrar sus propias sesiones (siempre que no produjeran un entregable aprobado — esas se bloquean para preservar trazabilidad).
Administrador: Todo lo anterior, más: aprobar entregables (transición draft → aprobado), eliminar proyectos enteros (mueve archivos a papelera Drive y archiva sesiones), editar nombre y RUT del cliente, eliminar cualquier sesión del equipo, eliminar documentos de la biblioteca compartida.
Asignación: Hoy el rol se setea en el primer login del usuario según el config del estudio. No hay UI para promover/degradar — los cambios se hacen vía equipo de tecnología cuando aplique.

          Implicancia práctica: el flujo "produzco borrador → admin aprueba"
          es deliberado. Garantiza que los entregables que recibe el cliente pasaron por
          revisión humana del responsable del proyecto, no son outputs crudos del LLM.
        

Cierre

Buenas prácticas y dónde pedir ayuda

Atajos para arrancar bien y no atascarse.

Buenas prácticas

Siempre crear el matter antes que la primera sesión — el historial te lo agradecerá.
Anonimizar primero, mostrar al cliente el resultado, validar antes de seguir.
Usar el stepper como guía, no como norma — saltar pasos es válido cuando aplica.
Citar artículo específico siempre que el agente entregue una afirmación normativa.
Guardar entregables como Google Doc nativo (el cliente los puede comentar inline).
Si el contexto del modelo se aproxima al 80%, cambiar a Claude Opus 4.7-1M.

Dónde pedir ayuda

Introducción en el menú Cuenta → presentación general de la plataforma.
Editor de prompts → propone mejoras al socio responsable, no edites en producción sin revisión.
Equipo legal → criterio jurídico, escalamientos, decisiones de scope.
Tecnología → bugs, nuevas funcionalidades, errores de DLP. Email: tecnologia@altlegal.cl
Chat #IA-team → preguntas rápidas y discusión de casos.
Documento maestro → docs/consultoria_proteccion_datos_personales.md en el repositorio.

          Última recomendación: el primer proyecto siempre lleva más tiempo del esperado.
          Es normal. Los siguientes se aceleran al ritmo de iteración del prompt y de la propia
          experiencia del equipo.
        