Una herramienta, tres marcos legales
Un equipo de privacidad procesa archivos de clientes de la UE bajo el RGPD el lunes. Historiales médicos bajo HIPAA el martes. Datos de consumidores de California bajo la CCPA el miércoles.
Cada ley tiene sus propias reglas. Cada documento necesita una configuración diferente.
Alternar entre tres conjuntos de reglas cada día genera errores. La configuración incorrecta en el archivo equivocado produce una anonimización excesiva (pérdida de datos) o una anonimización insuficiente (incumplimiento).
Los perfiles de cumplimiento con nombre resuelven este problema. Una configuración guardada por ley. Sin reconfiguración manual.
RGPD — Qué cubre
El RGPD cubre todos los datos personales. Se aplica a cualquier persona de la UE que pueda ser identificada. No existe una lista fija de tipos. Cualquier información relacionada con una persona está en ámbito.
Las categorías especiales — datos de salud, creencias religiosas, opiniones políticas — reciben protección adicional según el artículo 9.
Tipos de entidades comunes para el trabajo documental: nombres, direcciones, identificadores nacionales, correos electrónicos, números de teléfono, direcciones IP, tarjetas de crédito.
La decisión correcta depende del contexto. El RGPD no tiene una lista fija.
HIPAA — Qué cubre
HIPAA Safe Harbor define exactamente 18 categorías de identificadores. Las 18 deben eliminarse de los registros de salud.
Dos reglas sorprenden a los equipos:
- Las fechas se reducen solo al año. El mes y el día se eliminan. El año permanece.
- Las divisiones geográficas menores al estado deben eliminarse.
Estas reglas se aplican solo a entidades cubiertas y sus socios comerciales.
CCPA — Qué cubre
La CCPA cubre la información personal de los residentes de California. El alcance es amplio. Incluye identificadores directos, actividad en internet, historial de compras, datos de geolocalización, datos biométricos e inferencias de perfil.
Para el trabajo documental, el foco está en los identificadores directos: nombres, números de seguridad social, licencias de conducir, números de pasaporte, correos electrónicos, números de cuenta, direcciones IP, identificadores de dispositivo.
El historial de compras y los registros de navegación raramente aparecen como texto plano en documentos.
Por qué falla el cambio manual
El cambio manual genera errores. Un archivo del RGPD procesado con una configuración HIPAA incorpora reglas de fechas que el RGPD no requiere. Un archivo HIPAA procesado con una configuración RGPD omite las reglas geográficas que Safe Harbor sí exige.
Los estudios muestran que los cambios manuales de marco producen errores alrededor del 15 % de las veces. Cada error es un incumplimiento o una pérdida de datos.
El equipo debe mantener tres conjuntos de reglas en mente y aplicar el correcto cada vez. Eso no es un proceso. Es una suposición diaria.
Tres configuraciones con nombre
«RGPD Estándar — Clientes de la UE»
Detecta: nombres, direcciones, identificadores nacionales, correos electrónicos, números de teléfono, direcciones IP, tarjetas de crédito.
Método: Tachar.
Excluir fechas salvo si la fecha de nacimiento es relevante. Incluir direcciones IP para datos en línea.
«HIPAA Safe Harbor — Salud»
Detecta: nombres de personas, fechas, localizaciones sub-estatales, teléfono, fax, correo electrónico, números de seguridad social, números de historial médico, identificadores de plan de salud, números de cuenta, números de certificado, identificadores de vehículo, identificadores de dispositivo, URLs, direcciones IP, identificadores biométricos. Cubre los 18 tipos Safe Harbor.
Método: Tachar. Para fechas: conservar el año, eliminar el mes y el día.
Añadir un patrón personalizado para el formato de número de historial médico de su institución.
«CCPA — Consumidores de California»
Detecta: nombres, direcciones, números de teléfono, correos electrónicos, números de seguridad social, licencias de conducir, pasaportes, tarjetas de crédito, direcciones IP, URLs, números de cuenta, identificadores de dispositivo.
Método: Reemplazar (preferible para análisis) o Tachar.
Cada configuración guardada toma la decisión de cumplimiento una sola vez. El operador selecciona el perfil que corresponde al contexto legal del documento. Sin lista de entidades que construir. Sin método que elegir.
Tasas de error antes y después
Sin perfiles con nombre: El equipo reconfigura manualmente para cada ley. La tasa de errores ronda el 15 %. Las auditorías anuales detectan hallazgos sobre aplicación de marcos.
Con perfiles con nombre: El equipo selecciona un perfil guardado. La configuración está fijada. La tasa de errores cae por debajo del 2 %. Los errores restantes provienen de elegir el perfil equivocado. La revisión de QA los detecta. Las auditorías pasan sin hallazgos.
El cambio clave: la decisión de cumplimiento pasa de la ejecución diaria a la creación del perfil. Un especialista decide una vez. Cada operador aplica sin pensar.
Gestionar un equipo multi-marco
Asignar responsabilidad. Un responsable por ley. El responsable del RGPD gestiona el perfil RGPD. El oficial HIPAA gestiona la configuración HIPAA. Cada responsable revisa su perfil cada trimestre.
Enrutar por origen. Los datos de clientes de la UE usan el perfil RGPD. Los datos de salud de EE. UU. usan el perfil HIPAA. Los datos de consumidores de California usan el perfil CCPA.
Registrar cada ejecución. Los registros de procesamiento documentan qué perfil se aplicó a cada lote. Cuando un auditor pregunta cómo se trató un archivo, la respuesta es el nombre del perfil, la fecha y el registro de configuración.
Distribuir actualizaciones. Cuando el EDPB emite nuevas directrices, el responsable del RGPD actualiza la configuración compartida. Todo procesamiento futuro incorpora el cambio automáticamente.
Para un análisis más profundo de la gobernanza de perfiles y las evidencias para auditorías, vea presets de anonimización y consistencia en auditorías RGPD. Para la cobertura detallada de HIPAA Safe Harbor, vea des-identificación HIPAA Safe Harbor para investigación sanitaria.
Conclusión
Tres leyes. Tres perfiles guardados. Una herramienta.
La complejidad vive en el nivel de definición del perfil. No en el flujo de trabajo diario. Los operadores no necesitan conocer las reglas de fechas de HIPAA. Necesitan saber qué perfil corresponde al documento que tienen delante.
Las configuraciones con nombre reducen la carga cognitiva. Reducen los errores. Hacen que el cumplimiento sea demostrable.