Matriz de Cumplimiento de Datos (LATAM)
Nota: esta matriz es guía técnica-operativa y requiere validación legal local antes de producción en cada país.
1. Reglas comunes mínimas
- Consentimiento explícito para tratamiento de datos sensibles de salud.
- Derechos de acceso, rectificación, cancelación y oposición (ARCO o equivalentes).
- Registro de consentimiento con
timestamp,policy_version,channel. - Retención y anonimización según política de negocio y regulación local.
- Portabilidad y eliminación gestionadas por flujo de soporte/compliance.
2. Matriz por país
| País | Base legal principal (referencial) | Requisito clave | Responsable operativo | Estado |
|---|---|---|---|---|
| Guatemala | Ley de acceso a la información y normativa sectorial aplicable | Consentimiento informado y trazabilidad de tratamiento | Compliance + Legal | Pendiente validación legal |
| México | LFPDPPP y lineamientos aplicables | Aviso de privacidad y mecanismos ARCO | Compliance + Legal | Pendiente validación legal |
| Colombia | Ley 1581/2012 y decreto reglamentario | Autorización previa y registro de finalidades | Compliance + Legal | Pendiente validación legal |
| Perú | Ley 29733 y reglamento | Registro de banco de datos y consentimiento expreso | Compliance + Legal | Pendiente validación legal |
| Chile | Ley 19.628 (y reformas aplicables) | Protección de datos personales y actualización normativa | Compliance + Legal | Pendiente validación legal |
| Argentina | Ley 25.326 y autoridad aplicable | Finalidad, proporcionalidad y derechos de titulares | Compliance + Legal | Pendiente validación legal |
3. Controles técnicos mínimos por país
| Control | Implementación mínima |
|---|---|
| Consentimiento | Tabla de consentimientos con versionado de política |
| Derecho de eliminación | Flujo soportado por ticket + job de anonimización |
| Exportación de datos | Endpoint seguro para descarga de datos del titular |
| Restricción de tratamiento | Flag processing_restricted a nivel de perfil |
| Auditoría | Registro de acceso y mutación de PII/PHI con trace_id |
4. Checklist de entrada a país nuevo
- Validación legal del país firmada por Legal/Compliance.
- Texto de consentimiento/privacidad localizado.
- Retención y anonimización parametrizadas por país.
- Flujos ARCO (o equivalentes) habilitados en soporte.
- Evidencia de pruebas de seguridad y privacidad.