Política de Gobierno de Datos

Resumen ejecutivo

Los datos ya son un activo regulado

Yaripo SpA reconoce que los datos son un activo estratégico y una responsabilidad legal. Esta Política establece el marco interno para su gestión responsable: qué datos tratamos, cómo los clasificamos, quién responde por ellos y cómo garantizamos su calidad, seguridad y uso adecuado a lo largo de su ciclo de vida.

Cumplimiento anticipado. Yaripo adopta un enfoque de cumplimiento anticipado respecto a la Ley 21.719, cuya vigencia plena opera desde el 1 de diciembre de 2026. Esta política constituye una declaración de intención y un marco operativo, no una certificación formal.

Marco operativo

Buenas prácticas, sin certificaciones inventadas

El gobierno de datos de Yaripo se basa en buenas prácticas reconocidas del sector — sin declarar certificaciones que no hemos obtenido. Operamos con controles documentados, roles definidos y procesos trazables, auditables por nuestros clientes y contrapartes.

Transparencia. Yaripo no tiene certificaciones formales de gobierno de datos a la fecha de este documento. Los controles descritos son prácticas implementadas, no estándares certificados por terceros.

Objeto y alcance

Qué cubre esta política

Esta Política de Gobierno de Datos define los principios, roles, procesos y controles que Yaripo SpA aplica para gestionar los datos que recopila, trata o custodia en el ejercicio de sus actividades — incluyendo servicios de consultoría, productos tecnológicos, academy y presencia web.

Se aplica a todos los datos tratados por Yaripo en su nombre propio, así como a los datos de clientes que Yaripo trate como encargado del tratamiento conforme al DPA aplicable. En caso de conflicto con el DPA, prevalece el DPA para el tratamiento por cuenta del cliente.

Relación con otros documentos. Esta política debe leerse junto con la Política de Privacidad, el Acuerdo de Tratamiento de Datos (DPA) y la Declaración de Seguridad de la Información. En caso de contradicción, prevalece el documento más específico para la situación concreta.

Principios rectores

Bases del gobierno de datos

El gobierno de datos de Yaripo se rige por los siguientes principios, derivados de buenas prácticas del sector y del marco normativo chileno:

Licitud y finalidad. Los datos se recopilan con base legal válida y para finalidades específicas, explícitas y legítimas.
Minimización. Solo se recopilan y retienen los datos estrictamente necesarios para la finalidad declarada.
Exactitud. Se implementan controles para mantener los datos actualizados y correctos.
Limitación del plazo. Los datos se conservan solo durante el tiempo necesario o legalmente exigido.
Integridad y confidencialidad. Los datos se protegen mediante controles técnicos y organizativos adecuados.
Responsabilidad activa. Yaripo asume la carga de demostrar el cumplimiento de estos principios, no de esperar a ser auditada.
Transparencia. Los titulares pueden conocer qué datos se tratan, cómo y por qué.

Roles y responsabilidades

Quién hace qué

El gobierno de datos en Yaripo funciona con roles claramente definidos, adaptados a la estructura de una empresa de consultoría en crecimiento:

Responsable de Datos (Data Owner)
El Founder & CEO asume la responsabilidad última del gobierno de datos mientras la organización no cuente con un DPO o equivalente designado. Define políticas, aprueba cambios de clasificación y responde ante requerimientos legales.

Custodios de Datos (Data Stewards)
Los profesionales a cargo de cada ámbito operativo (consultoría, academy, tecnología) son responsables de la calidad y correcto tratamiento de los datos en su dominio. En proyectos con clientes, el custodio es quien lidera el proyecto.

Usuarios de Datos
Cualquier colaborador, contratista o sistema que acceda a datos en el ejercicio de sus funciones. Deben operar estrictamente dentro del principio de mínimo acceso necesario.

Titulares de los datos
Las personas naturales cuyos datos son tratados. Tienen derechos ARCOP (Acceso, Rectificación, Cancelación, Oposición y Portabilidad) ejercibles a través de el formulario de solicitudes de privacidad.

Clasificación de datos

Categorías y nivel de protección

Yaripo clasifica los datos que trata en cuatro categorías, que determinan el nivel de protección aplicable:

Datos públicos. Información de acceso libre, sin restricciones de difusión. Ej: contenidos publicados en el sitio web.
Datos internos. Información de uso interno que no debe difundirse externamente sin autorización. Ej: documentos de trabajo, propuestas, correos internos.
Datos confidenciales. Información que requiere protección activa y acceso restringido. Ej: datos de clientes, contratos, información financiera, credenciales.
Datos sensibles. Datos personales de categoría especial según la Ley 21.719 (salud, origen racial, convicciones, biometría, etc.). Requieren base legal reforzada, protocolo DPIA y controles de acceso estrictos.

Sensibles por defecto. Ante la duda sobre la clasificación de un dato, se aplica la categoría superior. Es preferible sobreproteger que subestimar el nivel de riesgo.

Registro de actividades de tratamiento (ROPA)

Cumplimiento Ley 21.719

Yaripo mantiene un Registro de Actividades de Tratamiento (ROPA) que documenta las principales operaciones de tratamiento de datos personales realizadas como responsable o como encargado. Este registro constituye la base documental del cumplimiento de la Ley 21.719.

Para cada actividad de tratamiento, el ROPA incluye: finalidad, base legal, categorías de datos, titulares afectados, destinatarios, plazos de retención y medidas de seguridad aplicadas.

ROPA en construcción. El ROPA de Yaripo se encuentra en implementación progresiva. Las actividades de mayor riesgo o mayor volumen de datos tienen documentación prioritaria. El registro se consolida a medida que la operación de Yaripo escala.

El ROPA no se publica en su totalidad por razones de confidencialidad operativa, pero está disponible para autoridades competentes cuando corresponda y para clientes que lo soliciten en procesos de due diligence.

Calidad de datos

Exactitud y consistencia

La calidad de los datos es una responsabilidad compartida entre los custodios de cada dominio. Yaripo aplica los siguientes controles básicos de calidad:

Exactitud. Los datos de clientes y contactos se validan en el punto de captura y se actualizan cuando se detectan errores.
Completitud. Los campos obligatorios para cada proceso están definidos y controlados en los sistemas de captura.
Consistencia. No se mantienen fuentes duplicadas o contradictorias de los mismos datos sin justificación operativa.
Oportunidad. Los datos críticos para decisiones operativas se actualizan en plazos definidos según su dominio.

Los titulares de datos tienen derecho a solicitar la rectificación de datos inexactos o incompletos a través de el formulario de solicitudes de privacidad.

Ciclo de vida de los datos

Desde la captura hasta la eliminación

Los datos tratados por Yaripo transitan por las siguientes etapas, cada una con controles definidos:

Captura. Solo se recopilan datos con base legal válida y finalidad específica declarada. Los formularios incluyen información sobre el tratamiento.
Almacenamiento. Los datos se alojan en infraestructura cloud con controles de acceso, cifrado en tránsito y, cuando corresponde, en reposo.
Uso y procesamiento. El acceso está restringido al mínimo necesario para la finalidad declarada. Los sistemas de IA y analítica se rigen por la Política de Gobernanza de IA.
Transferencia. Las transferencias a terceros o proveedores se documentan en el ROPA y se rigen por el DPA o acuerdos equivalentes.
Retención. Los plazos de retención se definen por finalidad, obligación legal o acuerdo contractual.
Eliminación. Los datos se eliminan de forma segura al vencer su plazo o a solicitud del titular. Yaripo emite certificado de destrucción cuando el cliente lo requiere.

Post-contrato. Al término de la relación comercial, Yaripo procede a la devolución o eliminación segura de los datos del cliente en un plazo máximo de 30 días calendario, conforme al DPA.

Seguridad y control de acceso

Controles técnicos y organizativos

Los controles de seguridad aplicados a los datos se detallan en la Declaración de Seguridad de la Información. En el marco del gobierno de datos, los principios operativos son:

Mínimo acceso. Cada persona o sistema accede únicamente a los datos necesarios para su función específica.
Autenticación robusta. Acceso a sistemas críticos con autenticación multifactor (MFA).
Trazabilidad. Los accesos y operaciones sobre datos confidenciales o sensibles se registran y son auditables.
Separación de ambientes. Los datos de producción no se usan en entornos de desarrollo o prueba sin proceso de anonimización.

Transferencias internacionales

Mecanismos y salvaguardas

Yaripo puede transferir o permitir el acceso a datos personales desde proveedores cloud ubicados fuera de Chile. Estas transferencias se realizan conforme a la Ley 21.719 mediante los siguientes mecanismos, según el caso:

Acuerdos de procesamiento de datos (DPA) propios del proveedor cloud, compatibles con estándares internacionales.
Cláusulas contractuales tipo (SCC) cuando el destinatario está en países sin nivel de protección adecuado equivalente.
Consentimiento explícito del titular, cuando aplica y es la única base legal disponible.

Los proveedores cloud utilizados por Yaripo y sus mecanismos de transferencia se documentan en el Anexo A del DPA, disponible a solicitud.

Derechos de los titulares

ARCOP y cómo ejercerlos

Los titulares de datos personales tratados por Yaripo tienen los siguientes derechos bajo la Ley 21.719:

Acceso. Conocer qué datos personales trata Yaripo, con qué finalidad y durante cuánto tiempo.
Rectificación. Corregir datos inexactos, incompletos o desactualizados.
Cancelación / Supresión. Solicitar la eliminación de datos cuando no exista base legal para su conservación.
Oposición. Oponerse al tratamiento en los supuestos legalmente previstos.
Portabilidad. Recibir los datos en formato estructurado y legible por máquina cuando sea técnicamente posible.

Cómo ejercerlos. Usa el formulario de solicitudes de privacidad disponible en la Política de Privacidad, o escribe a formulario de solicitudes de privacidad indicando el derecho que deseas ejercer, tu identidad y, si corresponde, los datos específicos involucrados. Yaripo responderá dentro del plazo legal establecido por la Ley 21.719.

Gestión de incidentes de seguridad

Detección, contención y notificación

Yaripo cuenta con un protocolo de respuesta a incidentes de seguridad que afecten a datos personales. Los compromisos son:

Notificación preliminar al cliente en un plazo máximo de 24 horas desde la detección.
Notificación completa con detalle de impacto, datos afectados y medidas adoptadas en máximo 72 horas .
Documentación interna del incidente para trazabilidad y mejora continua.
Notificación a la autoridad competente cuando la Ley 21.719 así lo exija.

Sin certificación formal. El protocolo de incidentes de Yaripo está documentado y operativo, pero no ha sido auditado por terceros. Los compromisos de notificación son contractuales (DPA) y no implican certificación de ningún estándar externo.

Actualización y revisión

Vigencia de esta política

Yaripo revisará esta Política de Gobierno de Datos al menos una vez al año o ante cambios normativos, operativos o de infraestructura que la hagan necesaria. La versión vigente será siempre la publicada en yaripo.cl con su fecha de actualización correspondiente.

Los cambios relevantes se comunicarán a los clientes con relación activa con al menos 30 días de anticipación, salvo que una obligación legal urgente requiera aplicación inmediata.

Documentos relacionados

Acuerdo de Tratamiento de Datos (DPA) Política de Privacidad Declaración de Seguridad Trust Center