La clasificación de datos sensibles es uno de los pilares fundamentales del cumplimiento normativo de datos en Chile. Con la entrada en vigencia de la Ley 21.719 de Protección de Datos Personales y el refuerzo del marco de ciberseguridad nacional, las empresas están obligadas a identificar, clasificar y proteger adecuadamente la información más crítica que gestionan.
En Avantic, ayudamos a las organizaciones a implementar modelos de clasificación de datos sensibles alineados a la normativa chilena, estándares internacionales y buenas prácticas de ciberseguridad.
¿Qué es la clasificación de datos sensibles?
La clasificación de datos sensibles es el proceso mediante el cual una organización identifica, categoriza y asigna niveles de protección a los datos que maneja, según su nivel de riesgo, impacto y sensibilidad.
Este proceso permite:
- Aplicar controles de seguridad proporcionales
- Prevenir filtraciones de información crítica
- Cumplir con la legislación vigente
- Proteger los derechos de los titulares de datos
No todos los datos tienen el mismo nivel de riesgo. Por eso, clasificar correctamente es clave para protegerlos.
¿Qué se considera dato sensible en Chile?
Según la Ley 21.719, los datos personales sensibles son aquellos que, por su naturaleza, pueden afectar gravemente los derechos y libertades de las personas si son tratados de forma indebida.
Ejemplos de datos sensibles:
- Datos de salud (fichas clínicas, diagnósticos, exámenes)
- Datos biométricos (huella digital, reconocimiento facial)
- Origen racial o étnico
- Opiniones políticas
- Convicciones religiosas o filosóficas
- Afiliación sindical
- Orientación sexual o identidad de género
- Datos de niños, niñas y adolescentes
- Geolocalización precisa
- Información financiera crítica
Estos datos requieren medidas de seguridad reforzadas y, en muchos casos, consentimiento explícito.
Niveles de clasificación de datos (modelo recomendado)
En Avantic utilizamos un modelo práctico de clasificación por niveles, alineado a estándares internacionales y a la normativa chilena:
🔵 1. Datos públicos
- Información disponible públicamente
- Bajo riesgo
- Ejemplo: datos corporativos generales
🟡 2. Datos internos
- Uso exclusivo dentro de la organización
- Riesgo medio
- Ejemplo: procedimientos internos
🟠 3. Datos confidenciales
- Acceso restringido
- Riesgo alto
- Ejemplo: datos financieros, contratos, credenciales
🔴 4. Datos sensibles o críticos
- Máximo nivel de protección
- Riesgo muy alto
- Ejemplo: datos personales sensibles, información OIV
¿Por qué la clasificación de datos sensibles es obligatoria?
La normativa chilena exige que las empresas:
- Sepan qué datos poseen
- Dónde están almacenados
- Quién accede a ellos
- Con qué finalidad se usan
- Qué medidas de seguridad los protegen
Sin una correcta clasificación:
- ❌ No se puede proteger adecuadamente
- ❌ No se pueden responder incidentes
- ❌ No se cumple la ley
- ❌ Se incrementa el riesgo de sanciones
La ANCI y la futura Agencia de Protección de Datos Personales exigirán evidencia de estos procesos.
Clasificación de datos sensibles y ciberseguridad
Clasificar datos no es solo un ejercicio documental. Debe estar directamente vinculado a controles técnicos como:
- Seguridad Endpoint
- Control de accesos por rol
- Autenticación multifactor (MFA)
- Cifrado de datos
- DLP (Prevención de Pérdida de Datos)
- Monitoreo SOC 24/7
👉 A mayor sensibilidad del dato, mayor debe ser el nivel de protección.
Clasificación de datos sensibles en OIV y servicios esenciales
Las organizaciones clasificadas como Operadores de Importancia Vital (OIV) tienen una responsabilidad aún mayor:
- Manejan datos críticos para el país
- Impactan la continuidad operativa nacional
- Están sujetas a fiscalización prioritaria
Para estas entidades, la clasificación de datos sensibles es un requisito estratégico, no opcional.
¿Cómo ayuda Avantic en la clasificación de datos sensibles?
En Avantic implementamos un enfoque integral:
✔ Inventario de datos
Identificamos qué datos existen, dónde están y quién los usa.
✔ Clasificación y etiquetado
Asignamos niveles de sensibilidad y reglas de protección.
✔ Controles técnicos
Aplicamos seguridad proporcional según la clasificación.
✔ Cumplimiento normativo
Alineamos el proceso con la Ley 21.719, Ley Marco y ANCI.
✔ Capacitación
Formamos a los equipos para el uso seguro de la información.