La mayoría de las organizaciones cree que cumple con la protección de datos. Tienen políticas, formularios de consentimiento y controles documentados. Pero cuando un archivo con datos personales se descarga y termina en una laptop, estos salen del alcance de cualquier política o control. La Ley 21.719 no perdona esa brecha: exige demostrar qué pasa con los datos en todo momento, no solo cuando se recolectan.
En la práctica, los datos viven entre sistemas, flujos, pero, sobre todo, en dispositivos.
El punto ciego del cumplimiento: cuando los datos salen del sistema
Uno de los mayores riesgos hoy no está en cómo se recolectan los datos, sino en cómo se dispersan. En entornos de trabajo modernos, los datos personales se replican constantemente fuera de los sistemas centrales: (descargas a Excel, copias locales, archivos compartidos), creando el Shadow Data: depósitos de información personal fuera de la visibilidad y control de TI.
El problema no es sólo técnico; es legal. Rompe un principio fundamental del consentimiento: que los datos se utilicen exclusivamente para los fines autorizados. Cuando la información se replica fuera de entornos controlados, ese consentimiento deja de ser verificable en la práctica.
Un ejemplo simple lo deja claro: un analista descarga una base de clientes desde el CRM para trabajar offline y el archivo queda en su laptop personal. TI no lo ve, Legal no lo sabe, pero para la ley ese dato sigue siendo responsabilidad de la organización.
El cumplimiento entonces, no puede depender sólo de políticas. La privacidad debe ser una capacidad técnica activa integrada en los sistemas.
A esto le llamamos privacidad operativa: la habilidad de controlar, ejecutar y demostrar el cumplimiento en la práctica, no solo en el papel.
Identidad digital: el punto de partida de la trazabilidad
La Ley 21.719 lo deja claro: no puedes proteger lo que no puedes atribuir. Pero hay una distinción clave: una cosa son los datos personales, y otra es la identidad de quien accede o los trata. El cumplimiento no solo exige proteger los datos, sino poder demostrar quién interactúa con ellos.
Esto implica controles como autenticación robusta (MFA, certificados digitales), registros de acceso y, sobre todo, la correlación entre usuario, dispositivo y acción. No es solo control de acceso: es trazabilidad operativa.
Y aquí es donde muchas organizaciones fallan. En una auditoría no basta con decir que existen controles; debes demostrar quién accedió, desde qué dispositivo, cuándo y bajo qué condiciones. Sin esa visibilidad, la identidad queda incompleta y el cumplimiento también.
Gestión del Consentimiento: de un "Checkbox" a un sistema vivo
Antes, bastaba con un simple cuadro de confirmación en un formulario web para recopilar datos personales. La nueva legislación exige un cambio radical: ese registro ya no es suficiente, ya que el consentimiento deja de ser un evento puntual para convertirse en un sistema vivo que debe mantenerse en el tiempo.
La Ley 21.719 exige que el consentimiento sea libre, específico, informado e inequívoco, pero el cambio más profundo no radica en sus características, sino en su duración. Ahora debe ser demostrable a lo largo de todo el ciclo de vida del dato, lo que obliga a las organizaciones a conservar no solo el “sí” del usuario, sino también todo su contexto: cuándo ocurrió, bajo qué condiciones, qué versión del texto fue aceptada y qué identidad estuvo involucrada.
El problema surge cuando ese consentimiento cambia. En teoría, la revocación es simple: el usuario revoca su autorización y el sistema deja de procesar sus datos. Pero en la práctica, ese cambio rara vez se propaga por completo: exportaciones, archivos locales e integraciones continúan circulando sin control. Y ahí el cumplimiento deja de ser demostrable, porque la ley no solo exige capturar el consentimiento correctamente, sino demostrar que su estado se respeta a lo largo de toda la operación.
Gestionar el consentimiento hoy significa tratarlo como una señal que viaja junto con los datos en todo su ciclo de vida: aplicaciones, integraciones, servicios y dispositivos
El salto crítico: cuando los datos salen del sistema y llegan al dispositivo
Los datos no viven solo en sistemas centrales. Se descargan, se copian, se sincronizan y terminan almacenados en laptops, smartphones y tablets que operan fuera del control directo de TI. Estos equipos representan el punto más vulnerable de la infraestructura: si no se gestionan y protegen, el cumplimiento deja de ser ejecutable en la práctica.
La normativa exige aplicar medidas técnicas y organizativas desde el diseño, antes de iniciar cualquier tratamiento de datos. Esto implica que cada equipo debe operar bajo condiciones controladas: configuraciones de uso seguras, restricciones de acceso, cifrado activo y políticas que limiten el uso de datos a lo estrictamente necesario. No como una excepción, sino como comportamiento por defecto.
Este principio se tensiona rápidamente en entornos reales.
El trabajo remoto y los modelos BYOD (Bring Your Own Device: el uso de dispositivos personales para trabajar) expanden el perímetro de forma drástica. Los datos dejan de vivir en redes controladas y pasan a circular en equipos que la organización no controla completamente. Un dispositivo extraviado, una red insegura o un archivo descargado sin control no es una excepción: es un escenario cotidiano donde el consentimiento y las políticas dejan de aplicarse en la práctica.
Por eso, las organizaciones incorporan controles que operan directamente en el dispositivo: rastreo, cifrado, borrado y respuesta remota ante incidentes. Soluciones como Prey permiten extender el control hasta donde el dato realmente vive. Porque si no puedes ver lo que ocurre en los dispositivos, no puedes demostrar que el cumplimiento se está ejecutando.
El nuevo rol de TI en el cumplimiento
TI ya no solo administra infraestructura: hoy es quien hace que el cumplimiento sea ejecutable en la práctica. Es el punto donde las políticas se transforman en controles reales sobre datos, accesos y dispositivos. Cuando un equipo se pierde, un archivo se descarga sin control o hay un acceso no autorizado, no responde Legal primero, responde TI.
El desafío es que esta responsabilidad crece en un contexto poco propicio: equipos pequeños, flotas distribuidas y presión constante para demostrar cumplimiento sin friccionar la operación. Por eso, el rol de TI evoluciona de reactivo a preventivo: anticipar incidentes, establecer controles por defecto y generar evidencia continua. Automatizar tareas, centralizar la gestión de dispositivos y mantener registros auditables deja de ser un nice to have y se convierte en la base del cumplimiento sostenible.
Privacidad operativa como nuevo estándar de cumplimiento
La Ley 21.719 no redefine solo la privacidad: redefine cómo se construye el cumplimiento. El modelo basado en políticas y controles declarativos ya no es suficiente. Hoy se exige privacidad operativa: la capacidad real de conectar identidad, consentimiento y dispositivos en un sistema que permita controlar, ejecutar y demostrar qué ocurre con los datos en todo momento.
La pregunta ya no es si tienes políticas de protección de datos. Es si puedes demostrar, en cualquier momento, qué está pasando realmente con ellos.
