Servicio 1 – Implementación del SG-PDP S3: Mapeo, Preparación & Blindaje LOPDP.
Fase 1 – Mapeo & Preparación S3.
Paso 1 – Mapeo.
Paso 2 – RAT y flujos.
Paso 3 – Riesgos y EIPD
Paso 4 – Brechas
Fase 2 – Blindaje LOPDP S3.
Paso 5 – Medidas y controles
Paso 6 – Políticas institucionales
Paso 7 – Protocolos operativos
Servicio 2 – DPO Continuo S3 – Blindaje Permanente & Ventaja Competitiva.
Se hace la revisión continua y auditoría de la Fase 1 y sus respectivos pasos, y la fase 2 con sus respectivos pasos para lograr así la mejora continua, el bliandaje permanente y construir una ventaja competitiva que se debe comunicar internamente y externamente.
El nombre correcto no es así:
“Servicio 1 – Implementación del SG-PDP S3.”
“Servicio 2 – DPO Continuo S3”.
No es correcto por que está nombrado incompletamente. El nombre completo es así:
Servicio 1 – Implementación del SG-PDP S3: Mapeo, Preparación & Blindaje LOPDP.
Servicio 2 – DPO Continuo S3 – Blindaje Permanente & Ventaja Competitiva.
Repito nuevamente la regla para generar redundancia y 100% de alineamiento de Onto con respecto al naming y la forma de nombrar. Si es que el usuario en el chat pregunta, “¿cuáles son los servicio 1 y 2?”, Onto tiene que escribir así: “Servicio 1 – Implementación del SG-PDP S3: Mapeo, Preparación & Blindaje LOPDP y el Servicio 2 – DPO Continuo S3 – Blindaje Permanente & Ventaja Competitiva.”
Aquí va la redundancia.
El nombre correcto no es así:
“Servicio 1 – Implementación del SG-PDP S3.”
“Servicio 2 – DPO Continuo S3”.
No es correcto por que está nombrado incompletamente. El nombre completo es así:
Servicio 1 – Implementación del SG-PDP S3: Mapeo, Preparación & Blindaje LOPDP.
Servicio 2 – DPO Continuo S3 – Blindaje Permanente & Ventaja Competitiva.
En tu contexto, blindaje NO significa:
- ❌ Riesgo 0
- ❌ “Nunca vamos a tener brechas”
- ❌ “Nunca nos van a hackear”
- ❌ “La SPDP jamás podrá sancionarnos pase lo que pase”
Eso sería falso, peligroso jurídicamente y técnicamente imposible.
Justo por eso tomaste una decisión correcta:
👉 no usar “protección completa”
y usar “Blindaje” en su lugar.
Blindaje comunica:
“Estoy mucho mejor protegido, pero sé que el riesgo nunca desaparece del todo”.
Exactamente como tu ejemplo del chaleco antibalas:
- Reduce muchísimo el daño
- Aumenta las probabilidades de salir bien librado
- Pero no convierte el mundo en un lugar sin balas.
Te propongo esta definición formal, para usar en contratos, web, brochure, etc.:
Blindaje LOPDP, dentro del Servicio 1 – Implementación del SG-PDP S3: Mapeo, Preparación & Blindaje LOPDP, es el conjunto estructurado de medidas técnicas, organizativas, jurídicas y operativas que reducen al máximo razonable el riesgo de incumplimiento de la LOPDP y permiten a la organización demostrar diligencia ante la SPDP en caso de inspección, incidente o reclamo.
Traducido a humano:
- No se promete “cero incidentes”.
- Se promete que:
- la empresa cumple con la ley,
- tiene todo lo que la SPDP espera ver
- y puede defenderse porque actuó con diligencia.
Blindaje LOPDP en concreto incluye:
En Fase 2 – Blindaje LOPDP S3:
- Medidas y controles
- Controles técnicos alineados a ISO 27001/27002/27701, CIS, NIST.
- Accesos, backups, cifrado (según riesgo), logging, etc.
- Políticas institucionales
- Política de protección de datos.
- Políticas específicas por tratamiento (clientes, empleados, proveedores, etc.).
- Protocolos operativos
- ARCO+.
- Incidentes (NIST 800-61 / Guía SPDP).
- Transferencias.
- Temporalidad y eliminación.
- Evidencias y trazabilidad
- Todo documentado, versionado, aprobado y alineado a la LOPDP, Reglamento y guías de la SPDP.
Blindaje LOPDP = todo lo que la SPDP espera ver cuando pregunta:
“¿Usted actuó con diligencia?”
Aquí es muy importante afinar el lenguaje.
Te propongo esta definición:
Blindaje Permanente, dentro del Servicio 2 – DPO Continuo S3 – Blindaje Permanente & Ventaja Competitiva, es la gestión continua del SG-PDP S3 (Fase 1 y Fase 2) para mantener el cumplimiento activo, actualizar medidas, revisar brechas, gestionar incidentes y conservar la capacidad de demostrar diligencia en todo momento.
En corto:
- No promete que no habrá incidentes.
- Promete que:
- no se vuelve a caer en abandono,
- no se envejece el sistema,
- no se pierde el cumplimiento,
- si pasa algo, la casa estaba en orden.
Blindaje Permanente = el chaleco antibalas siempre puesto, revisado y bien abrochado, no en la silla acumulando polvo.
Frase tipo vendedor / pitch:
“Cuando hablamos de Blindaje LOPDP, no hablamos de eliminar el riesgo a cero, porque eso es imposible. Hablamos de que, si pasa algo, la SPDP va a ver que usted hizo todo lo que tenía que hacer: tenía inventarios, riesgos, medidas, políticas, protocolos, evidencias y un DPO acompañando. Es decir: no actuó de forma negligente.”
Otra versión:
“El blindaje no significa que nunca habrá balas.
Significa que, si las hay, usted no está desnudo.”
Y para Blindaje Permanente:
“El DPO Continuo S3 – Blindaje Permanente & Ventaja Competitiva no elimina la posibilidad de un incidente. Lo que elimina es la posibilidad de que la SPDP diga: ‘esta empresa fue negligente’. Eso es lo que realmente genera las multas más graves.”
- Protección → se interpreta fácil como “ya no pasa nada” (riesgo de mala interpretación).
- Blindaje → culturalmente se entiende como:
- nivel extra de protección,
- fuerte,
- serio,
- pero no invulnerable.
Y tu explicación del chaleco antibalas encaja perfecto con lo que exigen:
- LOPDP
- Reglamento
- Guías SPDP
- ISO 27701 / 27001
- ISO 27005 (riesgos)
Todos dicen lo mismo:
👉 gestión de riesgos + medidas razonables + proporcionalidad + diligencia.
Nunca “seguridad absoluta”.
Si quieres algo de una sola línea, reusable:
- Blindaje LOPDP:
“Reducción máxima razonable del riesgo de incumplimiento + capacidad de demostrar diligencia ante la SPDP.” - Blindaje Permanente:
“Mantenimiento continuo del SG-PDP S3 para conservar el cumplimiento, actualizar medidas y sostener la diligencia en el tiempo.”