Idónea Consultores · Santiago de Chile Catálogo · 7 líneas de servicio De la norma a la decisión

Inicio

De la norma a la operación.

Siete líneas de servicio que cubren el ciclo completo: desde diagnosticar el cumplimiento hasta operarlo todos los días. Cada una con metodología propia, equipo dedicado y entregables explícitos.

Catálogo

Siete líneas de servicio.

Cada servicio se entrega con el Modelo Idónea: equipo interdisciplinario en la misma reunión, hitos auditables, evidencia documentada y conocimiento que queda dentro de su organización.

01Consultoría e Implementación LPDP 02DPO & Data Officer 03IA & Gobernanza 04Evaluaciones y Cumplimiento 05Legal Design 06Formación 07Ciberseguridad

01 · Pieza central

Consultoría e Implementación LPDP.

Programas de cumplimiento de la Ley 19.628 reformada que se implementan de verdad.

Ley 21.719 RAT · EIPD Multi-jurisdicción
Conversemos

El servicio insignia: estructuramos un programa completo, desde el diagnóstico hasta la implementación efectiva en sus sistemas. No entregamos una plantilla legal: entregamos un sistema de gestión de datos personales operativo, probado y documentado para resistir una auditoría del regulador.

Qué incluye

  • Diagnóstico de brechas y mapeo de tratamientos
  • Calibración del assessment y diseño del SGDP
  • Sistema de gestión de datos personales
    Incluye los elementos de un Modelo de Prevención de Infracciones y permite una adecuada calibración de los riesgos y mejora continua.
  • Implementación de obligaciones legales nucleares
  • RATs, EIPDs y registros de transferencias internacionales
  • Configuraciones técnicas en sistemas core

Entregables clave

Informe de madurez
Dinámico, reproducible y auditable.
RAT como instrumento de gestión
Trazabilidad de procesos de negocios, sistemas, servicios e infraestructura, con matriz de riesgo y controles asociados.
Planes de implementación interdisciplinarios
Coordinan a Legal, TI, Riesgo, Compliance, Negocio y Operaciones bajo una misma hoja de ruta.
Capacitaciones
Por audiencia y nivel: directorio, mandos medios, equipos operativos y áreas técnicas.

02 · Operación continua

DPO & Data Officer.

Su delegado de protección de datos — externo, dedicado y operativo.

DPO-as-a-Service Encargado Continuidad
Conversemos

El DPO habla tres idiomas que rara vez se entienden entre sí: derechos fundamentales, tecnología y negocio. Asumimos esa función como servicio externo dedicado: no es un abogado de guardia que responde correos — es un rol operativo que mantiene su programa vivo después de la implementación.

Qué hacemos como su DPO

  • Atención de derechos ARCO+P y consultas del titularSLA
  • Gestión de incidentes y vulneraciones (Art. 14 sexies)72h
  • Mantención del registro RAT y EIPDsMensual
  • Interlocución con la Agencia de Protección de DatosCuando aplica
  • Reporte ejecutivo al directorio y comité de cumplimientoTrimestral
  • Auditoría continua de proveedores y encargadosContinuo

Modalidades

DPO dedicado · cargo formal designado
DPO compartido · para empresas medianas
Retainer de horas · soporte mensual flexible
Defensa ante el regulador · cuando aplica

03 · Sistema de Gestión de IA

IA & Gobernanza.

Sistema de Gestión de IA (AIMS) alineado a ISO/IEC 42001 y al EU AI Act. Gobernanza certificable, no buenas intenciones.

ISO/IEC 42001 EU AI Act NIST AI RMF AI Literacy
Conversemos

La IA dejó de ser un experimento de innovación: es un sistema de tratamiento de datos sujeto a regulación. Idónea diseña Sistemas de Gestión de IA (AIMS) certificables bajo ISO/IEC 42001:2023, con controles trazables al ciclo de vida del proyecto de IA y articulados con el EU AI Act, el NIST AI Risk Management Framework y la LPDP.

Qué incluye

  • Análisis de contexto e identificación de partes interesadasCláusula 4
  • Política de IA y estrategia aprobada por direcciónCláusula 5
  • Marco de gestión de riesgos y evaluación de impacto algorítmicoCláusula 6
  • Competence model y plan de AI LiteracyCláusula 7.2
  • Controles integrados al ciclo de vida del proyecto de IACláusula 8
  • Auditoría interna y preparación para certificaciónCláusulas 9 y 10

Entregables clave

Política de IA aprobada por dirección
Alcance, propósito, roles y responsabilidades. Cubre datos, privacidad, talento y mejora continua. (ISO/IEC 42001 cláusula 5.2)
Marco de gestión de riesgos algorítmicos
Probabilidad × impacto × controles. Cubre riesgos de desempeño, seguridad, reputación, legal/regulatorio y black-box. (Cláusula 6.1)
Inventario y documentación de sistemas de IA
Registro completo con documentación técnica, fuentes de datos, decisiones automatizadas y línea base de infraestructura. (Cláusulas 7.5 y 8)
AIMS auditable
Sistema de Gestión de IA certificable bajo ISO/IEC 42001:2023, con programa de auditoría interna, revisión de gestión y plan PDCA de mejora continua. (Cláusulas 9 y 10)

04 · Diagnóstico y control

Evaluaciones y Cumplimiento.

Evaluaciones de impacto, auditorías, gestión de brechas y due diligence de proveedores.

EIPD / DPIA Auditoría Due Diligence
Conversemos

No siempre se necesita un programa completo. A veces se necesita evaluar un riesgo concreto, pasar una auditoría externa, revisar un contrato con un encargado o reaccionar a un incidente. Para esos casos, ofrecemos servicios puntuales con alcance acotado y entregables específicos.

Tipos de evaluación

  • EIPD / DPIA — Evaluación de Impacto en Protección de DatosPor sistema
  • Auditoría de cumplimiento LPDPDiagnóstico
  • Due diligence de protección de datos en M&ATransacción
  • Revisión de contratos con encargados de tratamientoPor contrato
  • Investigación y gestión de incidentesReactivo
  • Análisis de transferencias internacionales y bases legalesPor flujo

Cuándo se contrata

Antes de lanzar un nuevo producto o sistema
En fusiones y adquisiciones
Tras un incidente o vulneración
Como respuesta a auditoría de cliente

05 · Diseño centrado en personas

Legal Design.

Diseño de servicios y artefactos legales que las personas pueden entender, usar y confiar. Investigación, prototipado y testeo, no decoración.

User Research Co-design Prototyping Testing
Conversemos

Una política de privacidad que nadie lee no protege a nadie. Un aviso de consentimiento que nadie entiende no es consentimiento válido. Idónea aplica las metodologías académicas del Legal Design (Hagan, Haapio, Corrales, Ducato, Strowel) para rediseñar artefactos y servicios legales que cumplen dos pruebas: comprensión real por personas comunes y conformidad legal estricta. Investigación etnográfica, prototipado iterativo y test con usuarios. No decoración.

Qué incluye · proceso en 7 pasos

  • Identificación de la necesidad legal a rediseñar
  • Investigación de usuariosEtnografía · entrevistas · observación
  • Definición del alcance, características y funcionalidades
  • Modelado del sistema y mapeo de flujos
  • Prototipado de demostradores
  • Testeo y validación con usuarios y stakeholders
  • Documentación de impacto y métricas

Entregables clave

Documentos legales rediseñados
Políticas de privacidad, avisos GDPR/LPDP, contratos funcionales, formularios de consentimiento y cartas de derechos. (Hagan, Haapio)
Herramientas y plataformas digitales
Interfaces para tramitación de derechos ARCO, dashboards jurídicos, plataformas de autoayuda y resolución alternativa de disputas. (Hagan)
Visualizaciones y patrones
Iconografía normalizada, mapas de flujos de datos, legal design patterns reutilizables y representaciones gráficas de procesos. (Corrales et al.)
Sistemas de servicios rediseñados
Coreografía de servicios legales, procedimientos user-friendly y flujos de atención optimizados con métricas de impacto. (Ducato & Strowel)

06 · Conocimiento que queda

Formación que opera.

Programas de capacitación para equipos legales, TI y alta dirección.

Cursos in-company Talleres Directorio
Conversemos

Si el cumplimiento depende de nosotros, fallamos. Por eso transferimos. Diseñamos programas de formación para que sus equipos internos puedan operar el programa sin nuestra presencia permanente — desde fundamentos legales hasta playbooks técnicos para incidentes.

Programas disponibles

  • Fundamentos LPDP para equipos no jurídicos4 hrs
  • Programa intensivo para DPO interno y equipo de privacidad20 hrs
  • Sensibilización en datos para toda la organización1 hr
  • Playbook de incidentes y vulneraciones para equipos TITaller
  • Briefing ejecutivo para directorio y alta dirección2 hrs
  • Programa específico para áreas comerciales y marketing3 hrs

Formatos

Presencial in-company
Sincrónico online
Cápsulas asincrónicas
Material de referencia entregable

07 · Convergencia regulatoria

Ciberseguridad.

Programa integrado bajo Ley 21.663, LPDP y estándares internacionales. Convergencia, no fragmentos.

Ley 21.663 OIV · ANCI ISO 27001 NIST CSF 2.0
Conversemos

La Ley Marco de Ciberseguridad (Ley 21.663) y la LPDP no son dos problemas separados. La obligación de seguridad técnica del Art. 14 de la LPDP, los controles que ANCI exige a Operadores de Importancia Vital y los marcos internacionales (ISO/IEC 27001:2022 y NIST CSF 2.0) se entrecruzan en una sola arquitectura. Idónea integra abogados e ingenieros que diseñan ese programa unificado, sin duplicar esfuerzos ni dejar zonas grises.

Tres líneas de acción

  • OIV · Acompañamiento ANCIDesignación y operación
  • Programa de ciberseguridad para no-OIVCumplimiento Art. 14 LPDP
  • SGSI y respuesta a incidentesOperación continua
  • Articulación notificación LPDP 72h y reporte ANCIProcedimiento integrado
  • Gestión de riesgos en cadena de suministroDue diligence técnico-legal
  • Acompañamiento legal en interlocución con ANCIContinuo

Entregables clave

SGSI documentado
Sistema de Gestión de Seguridad de la Información alineado a ISO/IEC 27001:2022 y a los controles sectoriales de ANCI.
Matriz de riesgos de ciberseguridad
Activos críticos, amenazas, vulnerabilidades y controles compensatorios. Trazable a ISO/IEC 27005 y NIST RMF.
Plan de respuesta a incidentes
Procedimientos coordinados con la notificación LPDP de 72 horas y el reporte ANCI conforme al Reglamento de la Ley Marco.
Programa de gestión de terceros
Due diligence técnico-legal, cláusulas contractuales tipo y monitoreo de cadenas de suministro críticas.

Metodología transversal

Una misma manera de hacer las cosas.

Cada uno de los siete servicios se entrega bajo el Modelo Idónea: la metodología propia que asegura coherencia, evidencia y resultado más allá del papel.

Conocer el Modelo

01

Reproducible

Las decisiones siguen una secuencia estable: el resultado no depende de la persona, sino del método.

02

Auditable

Cada hito deja evidencia documentada. El programa resiste el escrutinio del regulador y de auditores externos.

03

Transparente

El cliente ve el avance, los riesgos abiertos y los entregables comprometidos. Sin cajas negras, sin sorpresas.

04

Probada

Aplicada en banca, telecomunicaciones, infraestructura crítica, sector financiero y operaciones multinacionales.

Próximo paso

Una hora, su contexto, una hoja de ruta.

Agendar diagnóstico

INFO@IDONEA.CL