- Inventario completo de datos personales tratados y sistemas de tratamiento, con descripción de finalidades, base legal y flujos de información dentro de la organización.
- Definición de funciones y obligaciones del personal que trata datos personales, incluyendo encargado de protección de datos cuando corresponde según Ley 21.719.
- Análisis de riesgos asociados al tratamiento de datos: identificación de amenazas, evaluación de impacto y probabilidad, y matriz de riesgo residual.
- Análisis de brechas entre la situación actual de la organización y los requisitos exigidos por la normativa vigente.
- Plan de trabajo con medidas correctivas, responsables asignados, plazos de implementación y criterios de éxito para cada brecha identificada.
- Mecanismos de monitoreo y revisión periódica de las medidas de seguridad, incluyendo frecuencia de revisión y procedimiento ante incidentes de seguridad.
- Programa general de capacitación para el personal que trata datos, con contenidos mínimos exigidos, modalidad y periodicidad recomendada.
- Implementación técnica de las medidas de seguridad identificadas en el plan de trabajo, como configuración de sistemas, cifrado o controles de acceso.
- Representación legal ante el Consejo para la Transparencia u otros organismos fiscalizadores en procedimientos sancionatorios.
- Elaboración de políticas de privacidad, cláusulas contractuales, contratos de encargo de tratamiento o avisos de privacidad para clientes y usuarios.
- Ejecución del programa de capacitación: el servicio incluye el diseño del programa, no la impartición de las jornadas al personal.
- Auditorías de ciberseguridad o evaluaciones de impacto relativas a la protección de datos (EIPD/DPIA), que requieren un alcance técnico adicional.
