Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Planilla consolidada, registro interno, sistema de inventario o documento institucional que incluya el listado de bases de datos personales junto con su responsable, tipo de datos tratados y sistemas donde residen.  

Comprobantes de registro emitidos por la URCDP, capturas del sistema de registro, certificados descargados o correspondencia oficial que evidencien que todas las bases de datos con datos personales están debidamente registradas. 

Documentos internos de análisis legal, matriz de obligaciones por tipo de dato, referencias a la Ley N.º 18.331 y su reglamentación o informes del Delegado de protección de datos (DPD) que permitan verificar que se ha analizado qué normativa aplica a cada base de datos registrada. 

Informes de verificación, actas de revisión por el DPD, listas de verificación de cumplimiento legal o registros de auditoría parcial que evidencien que se revisa regularmente la legalidad del tratamiento de datos personales. 

Planes de acción documentados, tickets de corrección, evidencia de ajustes realizados en sistemas o procesos o reportes de cierre que permitan constatar que se actúa ante hallazgos de incumplimiento. 

Programas de auditoría interna, informes con capítulos específicos sobre protección de datos, actas del CSI o cronogramas de evaluación que evidencien que se integra la revisión legal del tratamiento de datos personales como parte del proceso de auditoría. 

Formularios web, sistemas de gestión de solicitudes, canales habilitados (presencial, telefónico, correo institucional, etc.), instructivos internos o comunicaciones oficiales que evidencien que la organización ha definido mecanismos formales para que los titulares puedan solicitar la corrección manual de sus datos personales. 

Formularios de trámites, procedimientos administrativos, instructivos internos o actas de revisión que permitan verificar que se define qué datos son necesarios y se limita su recolección sólo a los estrictamente requeridos por cada servicio o trámite. 

Planillas de seguimiento, sistemas de atención al ciudadano, libros de registro, formularios archivados o reportes internos que evidencien que se documentan las solicitudes y los plazos de respuesta correspondientes. 

Manual de atención, instructivos operativos, registros de atención presencial o capturas del sistema que permitan constatar que, cuando el titular está presente, se valida y actualiza la información en ese momento si corresponde. 

Capturas de pantallas, reportes de funcionalidad en sistemas, cronogramas de revisión o registros de validación de datos que evidencien que se solicita periódicamente al usuario la revisión y corrección de sus datos personales. 

Logs de auditoría, configuraciones de trazabilidad, capturas de sistemas, reportes de cambios o documentación técnica que permitan verificar que se registra quién modificó los datos, cuándo y qué cambió.   

Tickets de solicitud, capturas de sistemas, actas de eliminación manual, correos internos o registros de tareas que evidencien que se han eliminado datos personales que ya no eran necesarios para su finalidad original. 

Formularios con cláusulas informativas, procedimientos internos, instructivos de registro o documentos de análisis de procesos que permitan verificar que se explicita la finalidad del tratamiento en cada instancia de recolección. 

Tablas de retención, anexos a políticas de protección de datos, resoluciones internas o instructivos operativos que evidencien que existen criterios definidos para cuánto tiempo se conservarán los datos personales según su finalidad prevista. 

Planillas de control, capturas de sistemas, logs de eliminación, actas de cumplimiento o formularios de seguimiento que evidencien que se registran las acciones de eliminación o anonimización siguiendo el procedimiento establecido. 

Procedimientos aprobados, manuales técnicos, instrucciones operativas o registros de aplicación que permitan constatar que existen métodos definidos para eliminar o anonimizar datos una vez que su finalidad ha sido cumplida. 

Cronogramas de revisión, listas de bases analizadas, registros de hallazgos o tickets de actualización que permitan verificar que se revisan periódicamente las bases para detectar datos cuya finalidad ya no se sostiene. 

Planes de auditoría, informes de auditoría interna, listas de verificación o actas del CSI que evidencien que se revisa el cumplimiento de la finalidad como parte del proceso de auditoría institucional. 

Capturas de formularios, textos legales en sitios web, registros de audio con aviso de consentimiento, formatos impresos o versiones de formularios que evidencien que se incluye la cláusula de consentimiento informado cuando corresponde. 

Bases de datos con fecha y forma del consentimiento, logs del sistema, formularios firmados, correos electrónicos archivados o pantallazos de confirmación que evidencien que se guarda prueba del consentimiento cuando es requerido. 

Listad de verificación legales, instructivos operativos, actas de análisis de bases de datos o comunicaciones con el DPD que evidencien que se evalúa si es necesario contar con consentimiento antes de iniciar el tratamiento de datos en cada caso. 

Capturas de pantallas, pruebas de usabilidad, reportes de revisión legal o evidencias funcionales que demuestren que los formularios no preseleccionan la aceptación y permiten decidir de forma clara e informada. 

Capturas del sitio web, instrucciones en formularios, correos con confirmación de baja o ejemplos de aplicación que evidencien que los titulares pueden retirar su consentimiento sin afectar el tratamiento previo. 

Procedimiento vigente, instructivo del DPD, diagramas de flujo o matrices de decisión que establezcan cuándo se requiere consentimiento y cómo debe ser recabado, registrado y conservado. 

Vínculos en el sitio web, materiales impresos, instructivos disponibles al público o comunicaciones institucionales que evidencien que los mecanismos para revocar el consentimiento están visibles y accesibles. 

Planes de auditoría, informes con revisión específica del consentimiento, listas de verificación o hallazgos documentados que evidencien que este aspecto es revisado regularmente. 

Versiones actualizadas de formularios, actas de revisión legal, tickets de mejora o evidencias de ajustes implementados que permitan constatar que los medios y textos utilizados para recabar consentimiento se actualizan periódicamente. 

Listados de permisos, configuraciones de control de acceso, evidencias de autenticación nominada o reportes de revisión de perfiles que permitan verificar que solo acceden quienes lo requieren, con el mínimo nivel necesario. 

Registros de acceso a oficinas, sistemas de cerraduras controladas, cajas fuertes, controles de archivadores o actas de control que evidencien que se protege el acceso físico a información personal en papel. 

Políticas de seguridad, controles implementados, procedimientos operativos y registros de concientización que evidencien la implementación de salvaguardas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales. 

Planillas, tickets, reportes de incidentes o logs de herramientas de gestión que permitan verificar que se registran eventos con detalle de fecha, tipo de incidente y si involucró datos personales. 

Logs de acceso, configuraciones de sistemas de trazabilidad, capturas de herramientas o reportes exportables que evidencien que se puede identificar quién accedió, cuándo y a qué tipo de información sensible. 

Procedimiento formal vigente, flujos de escalamiento, modelos de formulario o registros de notificación a la URCDP que permitan constatar que se cumple con el plazo y contenido exigido por la normativa. 

Documentación aprobada, plantillas de comunicación, cronogramas de aviso o actas de activación de protocolo que evidencien que está definido cómo se informa a los titulares cuando sus datos personales se ven comprometidos. 

Informes de simulacro, reportes de escenarios probados, registros de participación o hallazgos documentados que evidencien que se prueba la eficacia de las medidas ante eventos como accesos indebidos o fugas de información. 

Actas de revisión de riesgos, presentaciones ejecutivas, planes estratégicos de seguridad o decisiones de alto nivel que permitan verificar que la dirección evalúa y toma decisiones sobre la protección de datos personales. 

Listas de control de acceso, matrices de permisos, evidencias de segregación de funciones o registros de revisión de accesos que permitan constatar que solo accede el personal cuya función lo justifica según la finalidad del tratamiento.  

Políticas de acceso, matrices de roles y finalidades, manuales operativos o anexos de procedimientos que identifiquen claramente qué roles pueden acceder a qué datos y con qué propósito. 

Cláusulas en contratos laborales, reglamentos internos, códigos de conducta o políticas institucionales aprobadas que evidencien la existencia de sanciones en caso de uso indebido o divulgación de datos personales. 

Contratos laborales con cláusula de confidencialidad, acuerdos específicos firmados, reglamentos internos aceptados o registros de firma digital que permitan verificar que el personal autorizado se compromete formalmente a guardar confidencialidad. 

Listados normativos, códigos de ética, políticas internas o anexos específicos que definan con claridad qué acciones se consideran una violación al principio de reserva en el tratamiento de datos personales. 

Documento de procedimiento aprobado, flujos de tratamiento de incidentes disciplinarios, modelos de informe o registros de aplicación que evidencien que existe un procedimiento estructurado para investigar este tipo de situaciones. 

Formularios internos, tickets de solicitud, correos institucionales con aprobación o registros de control que permitan verificar que toda solicitud de acceso a datos personales incluye su finalidad y ha sido autorizada por el responsable correspondiente. 

Políticas institucionales, instructivos de desarrollo o mejora de procesos, formularios de análisis de privacidad o actas de revisión de proyectos que evidencien que se contemplan criterios de privacidad desde el diseño y configuración inicial. 

Actas de participación del DPD, correos de consulta, observaciones en documentos de diseño o evidencia de asesoramiento documentado que permitan verificar su intervención en medidas técnicas u organizativas relacionadas con privacidad.  

Informes de análisis posterior al incidente, tickets de modificación, actas de evaluación de impacto o registros de revisión técnica que evidencien que se revisa la efectividad de las medidas de privacidad ante cambios en procesos o incidentes. 

Cronogramas de revisión, informes técnicos, actas del CSI o matrices de evaluación que permitan constatar que se analiza regularmente la efectividad de las medidas implementadas. 

Tickets de mejora, nuevas versiones de configuraciones, actualizaciones de controles o decisiones registradas que evidencien que las revisiones periódicas resultan en ajustes concretos a las medidas técnicas aplicadas. 

Registros de entrada de solicitudes, tickets de atención, correos institucionales o planillas internas que evidencien que la organización recibe y da curso a los pedidos de los titulares de datos personales. 

Planillas con fechas de recepción y respuesta, reportes de cumplimiento de plazos, indicadores operativos, emails recibidos y su respuesta o otros registros de respuesta dentro de los días hábiles establecidos por la legislación que permitan verificar el cumplimiento de dicho plazo legal. 

Actas de asignación, roles definidos en el procedimiento, estructura organizativa o correos internos que permitan verificar quiénes son responsables de cada etapa del proceso. 

Planillas de seguimiento, registros en sistemas internos, actas de tratamiento o archivos documentales que evidencien el control del ciclo completo de cada solicitud (recepción, evaluación, respuesta). 

Procedimiento o instructivo que incluya los derechos de información, acceso, actualización, rectificación, inclusión, supresión e impugnación, con flujos o formatos diferenciados por tipo de derecho. 

Procedimiento documentado, formulario con validación, requerimientos de documentación, instrucciones operativas o plantillas que evidencien cómo se verifica la identidad del titular antes de responder a una solicitud. 

Publicación en sitio web, cartelería institucional, materiales entregados al personal o correos informativos que permitan constatar que los procedimientos para ejercer los derechos son conocidos por todas las partes relevantes. 

Tableros o dashboards, informes mensuales, métricas de cumplimiento o reportes del DPD que evidencien que se generan indicadores de desempeño sobre el procedimiento de gestión de solicitudes de derechos de los titulares (como volumen de solicitudes, tiempo medio de respuesta o proporción de rechazos, entre otros). 

Actas de revisión, cronogramas ejecutados, tickets de mejora o reportes de hallazgos que permitan verificar que el procedimiento se revisa regularmente y se documentan desvíos u oportunidades de mejora. 

Versiones actualizadas del procedimiento, cambios registrados en instructivos, plan de acción implementado o tickets cerrados que evidencien que las mejoras detectadas se incorporan de forma efectiva.