Qué evaluar de verdad al elegir un software de privacidad
Las tablas de funciones no te dirán esto. Estos son los siete criterios que separan las herramientas de privacidad que escalan del software caro que acaba sin usarse, extraídos de evaluaciones reales en organizaciones multientidad.
CRITERIO 01
Arquitectura de todo el grupo, no soluciones provisionales para una sola entidad
La mayoría de las plataformas de privacidad se crearon para una única entidad jurídica y después se readaptaron para grupos. El resultado: trabajo duplicado, modelos de datos incoherentes y un registro de tratamientos que se fragmenta en cuanto añades tu segunda filial. Una verdadera arquitectura de todo el grupo significa un solo modelo de datos, una sola fuente de verdad, con controles a nivel de entidad, no instancias de copiar y pegar que fingen ser multientidad.
Pregunta al proveedor:
«Muéstrame cómo una actualización del registro de tratamientos en una filial se propaga por todo el grupo. ¿Puedo generar informes consolidados de 15 entidades sin exportaciones manuales?».
CRITERIO 02
Recertificación automatizada que funciona de verdad
Tu registro de tratamientos solo es tan bueno como su última recertificación. Si hay que perseguir manualmente a las unidades de negocio para que actualicen los datos —y la mayoría de los DPD pasan sus semanas haciendo exactamente eso—, tus registros se convierten en ficción en cuestión de meses. La plataforma debería gestionar los flujos de trabajo de recertificación de forma automática: programación, notificaciones, vías de escalado y documentación del rastro de auditoría sin intervención manual.
Pregunta al proveedor:
«¿Qué ocurre cuando una unidad de negocio incumple su plazo de recertificación? Muéstrame el flujo de trabajo de escalado automatizado y el rastro de auditoría que genera».
CRITERIO 03
Soberanía de datos que puedas demostrar a un regulador
Tras Schrems II, «tenemos un centro de datos en la UE» no es suficiente. ¿Dónde se tratan los datos? ¿Dónde se almacenan las copias de seguridad? ¿Qué jurisdicción rige las solicitudes de acceso de las fuerzas del orden? El alojamiento en Suiza bajo la legislación suiza proporciona un nivel de protección de datos que los marcos UE-EE. UU. no pueden garantizar. Tu herramienta de privacidad no debería ser el eslabón más débil de tu propia cadena de transferencia de datos.
Pregunta al proveedor:
«¿Bajo la legislación de qué país pueden las fuerzas del orden obligar a acceder a mis datos de cumplimiento? ¿Puedes facilitar una confirmación por escrito de que ningún dato sale de la infraestructura suiza o de la UE, incluso para soporte, analítica o tratamiento con IA?».
CRITERIO 04
Precios que se mantienen predecibles a escala
Los precios por usuario y por módulo están diseñados para captarte de forma barata y luego ampliar tu contrato en cada renovación. Para las organizaciones multientidad, este modelo es tóxico: cada nueva filial, cada nuevo miembro del equipo, cada función adicional suma coste. Busca precios basados en entidades o en la organización que te permitan crecer sin renegociar cada trimestre.
Pregunta al proveedor:
«Dame un presupuesto vinculante para nuestra organización con su tamaño actual y con el doble de nuestro número de entidades actual. ¿Qué cambia en el segundo y el tercer año?».
CRITERIO 05
IA que asiste en las decisiones, no IA que las toma
El cumplimiento asistido por IA es potente: para redactar EIPD, puntuar riesgos, relacionar requisitos normativos. Pero una IA que genera automáticamente registros de cumplimiento sin revisión humana es un riesgo a punto de estallar. La plataforma adecuada utiliza la IA para reducir el esfuerzo manual mientras mantiene a las personas en el bucle de decisión. Y debería ser transparente sobre el entrenamiento de modelos: ¿se están usando tus datos de cumplimiento para entrenar los modelos del proveedor?
Pregunta al proveedor:
«Muéstrame exactamente dónde revisa una persona el resultado de la IA antes de que se convierta en un registro de cumplimiento. ¿Se utiliza algún dato de cliente para entrenar modelos? ¿Dónde se procesa la inferencia de IA, en tu infraestructura o en la de un tercero?».
CRITERIO 06
Pruebas listas para auditoría bajo demanda
Cuando una autoridad de control solicita documentación, necesitas un paquete de pruebas completo y actualizado, no una carrera de tres semanas entre departamentos. La plataforma debería generar documentación lista para auditoría en minutos: registros de tratamiento, resultados de EIPD, evaluaciones de proveedores, registros de brechas y registros de los derechos del interesado con rastros de auditoría completos. Si tu «herramienta de cumplimiento» requiere una recopilación manual, es una herramienta de informes, no una plataforma de cumplimiento.
Pregunta al proveedor:
«Un regulador solicita nuestro registro de tratamientos completo y todas las EIPD asociadas de los últimos 12 meses. ¿Cuánto se tarda en producir ese paquete e incluye un rastro de auditoría completo?».
CRITERIO 07
Tiempo hasta obtener valor medido en semanas, no en trimestres
Una implementación de 18 meses que requiere consultores externos y equipos de proyecto dedicados anula el propósito de comprar software. La plataforma debería estar operativa —generando resultados de cumplimiento reales— en cuestión de semanas. Eso significa plantillas predefinidas, incorporación guiada y una experiencia de usuario diseñada para profesionales de la privacidad, no para administradores de TI. Si necesitas un curso de certificación para usar la herramienta, no se creó para ti.
Pregunta al proveedor:
«¿Cuántas semanas hasta que produzcamos nuestro primer resultado de registro de tratamientos conforme? ¿Cómo es la incorporación y necesitamos consultores externos para empezar?».


