anonym.legal

By · Last updated 2026-06-05

Volver al BlogGDPR y Cumplimiento

El Costo Oculto de la Fragmentación de Herramientas...

Cuatro herramientas diferentes para cuatro flujos de trabajo diferentes significan cuatro conjuntos de cobertura de entidades diferentes y cuatro...

June 5, 20267 min de lectura
compliance audittool fragmentationISO 27001GDPR controlsPII tools

Lo que preguntan los auditores sobre PII

Los auditores de RGPD e ISO 27001 hacen una pregunta fija. «¿Que controles tienen para anonimizar PII?»

Quieren una respuesta clara. Un control. Igual en cada caso. Con pruebas y documentacion.

La respuesta de riesgo suena asi: «Depende del contexto. Extension de Chrome para web. Macro de Word para contratos. Script Python para archivos. Web app para urgencias.»

Eso provoca mas preguntas. «¿Que brechas hay entre esas herramientas? ¿Donde esta la pista de auditoria?»

Herramientas fragmentadas no responden bien. Ese es el problema de cumplimiento.

El problema de coherencia en deteccion

Cada herramienta PII usa un metodo propio. Sus resultados difieren — a veces mucho.

Herramientas solo regex buscan patrones fijos. NSS. Correo. Tarjeta. No detectan entidades NER. Nombres y formatos no estadounidenses pasan sin detectarse.

Herramientas solo NER usan modelos entrenados. No detectan entidades de patron. IBAN y codigos propios se escapan si no estaban en el entrenamiento.

Cada herramienta cubre entidades distintas. Cada una tiene umbrales distintos. Un mismo documento en herramienta A y herramienta C puede dar resultados distintos. VERIFIED.

Eso crea una brecha directa. Herramienta A procesa PDF. Herramienta B procesa Excel. Herramienta A detecta fechas de nacimiento. Herramienta B no. La misma fecha esta anonimizada en PDF pero expuesta en Excel.

La brecha depende del formato del archivo. No de la politica. No de la intencion.

Una autoridad de proteccion puede hallar esa brecha en una investigacion. La incoherencia entre herramientas se convierte en factor de exposicion. VERIFIED — Art. 32 RGPD exige medidas tecnicas sistematicas.

El problema de la pista de auditoria

El cumplimiento requiere prueba de aplicacion coherente. Para anonimizar PII, esa prueba es la pista de auditoria.

Cuatro herramientas producen cuatro formatos de log distintos. Algunas no producen nada.

Una macro de Word no genera registro. Un script Python puede escribir en un archivo local. Ese archivo no esta en el sistema de cumplimiento. Una extension de Chrome puede escribir logs en el navegador. Esos logs no son accesibles para una revision de cumplimiento.

Cuando una autoridad pide pruebas de auditoria, una respuesta funciona. Es un log centralizado. Cubre todo el procesamiento de anonimizacion en todas las plataformas.

La otra no funciona. Un log en la maquina de un desarrollador no es suficiente.

Procesar en una sola plataforma hace posible una pista unica. Herramientas fragmentadas lo hacen imposible.

Para detalle sobre este requisito: Redaccion explicable y pistas de auditoria HIPAA.

El problema de deriva de configuracion

Con el tiempo, cada herramienta tiene su propia configuracion. Ocurre poco a poco y sin aviso.

Un patron tipico. La extension de Chrome se actualiza con tipos de entidades nuevas. El script Python no se actualiza. La macro de Word la configuro un colega que ya no esta. Nadie conoce sus ajustes actuales. La web app cambia para excluir nombres de proveedores. Ese cambio nunca llega a las demas herramientas.

Actualizar una herramienta sin las otras crea deriva. La deriva crea brechas.

Un auditor de ISO 27001 pide documentacion de configuracion. «Cuatro herramientas, cuatro configs, no sabemos si estan al dia» no es buena respuesta. VERIFIED — ISO/IEC 27001:2022 Anexo A 8.11 exige controles documentados y coherentes; ISO/IEC 27001:2022.

Un hallazgo ISO 27001 real

Una firma de cumplimiento de quince personas usaba cuatro herramientas. Scraper web para datos online. Escritorio Windows para archivos masivos. Macro de Word para contratos legales. Extension de Chrome para herramientas IA.

Un audit de ISO 27001 genero un hallazgo. Resultados distintos por plataforma. Sin pista de auditoria central. Brecha en Anexo A 8.11. El control no era coherente de forma demostrable. VERIFIED-EXTERNAL — esto coincide con patrones documentados de incumplimiento ISO 27001 para Anexo A 8.11.

El hallazgo requirio un plan de accion correctiva. La accion: consolidar en una sola plataforma.

Tras la consolidacion, la firma tenia un motor de deteccion en todas las plataformas. Mismos presets en cada contexto. Todo el procesamiento registrado en un solo lugar. El hallazgo ISO 27001 quedo cerrado en el siguiente audit.

El proyecto tomo seis semanas. Reemplazo una respuesta de doce paginas por un hallazgo cerrado.

Para mas informacion sobre coherencia y auditorias RGPD: Coherencia de anonimizacion, presets y auditorias RGPD.

La prueba de narrativa de cumplimiento

¿Puede responder estas cuatro preguntas sin dudar?

  1. ¿Que tipos de entidades se detectan en cada plataforma de su equipo?
  2. ¿Cual es el umbral de deteccion, coherente en todas las plataformas?
  3. ¿Donde esta la pista de auditoria centralizada para toda anonimizacion de los ultimos doce meses?
  4. ¿Como garantiza que sus cambios de configuracion se apliquen en todas las plataformas?

Si alguna pregunta genera duda, hay riesgo de cumplimiento.

Una respuesta clara es posible. Requiere un solo motor en todas las plataformas. Sin eso, cada herramienta crea su propia brecha. Su propio silo de auditoria. Su propia deriva de configuracion.

Auditores y autoridades notan estas brechas. Consolidar antes de un hallazgo es mucho mas facil que hacerlo despues.

Para mas detalle sobre fragmentacion y controles RGPD: Auditoria RGPD y fragmentacion de herramientas PII en plataformas.

Fuentes

Artículos Relacionados

GDPR y Cumplimiento

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR y Cumplimiento

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR y Cumplimiento

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

¿Listo para proteger sus datos?

Comience a anonimizar PII con más de 285 tipos de entidades en 48 idiomas.

Iniciar Prueba GratuitaVer Características

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.