Saltar al contenido principal

Trazabilidad, auditabilidad y versionado

Trazabilidad, auditabilidad y versionado

En privacidad y protección de datos no basta con estar en cumplimiento. Las regulaciones exigen que las organizaciones sean capaces de demostrar, reconstruir y auditar decisiones pasadas en el tiempo.

Soyio está diseñado desde su núcleo para habilitar:

  • Auditorías regulatorias y de terceros
  • Evidencia verificable de cumplimiento
  • Control interno y revisiones de seguridad
  • Cumplimiento continuo, no solo puntual

Esta guía explica cómo Soyio garantiza trazabilidad, auditabilidad y versionado a lo largo de todo el ciclo de vida de la privacidad.

Glosario de términos clave

Para evitar confusiones, definimos los siguientes conceptos utilizados en esta guía:

  • Documento de Privacidad (Privacy Document): Algún texto legal versionado (Política de Privacidad, Términos y Condiciones) que el usuario acepta.
  • Template de Consentimiento (Consent Template): La definición de lo que el usuario verá al dar su consentimiento, junto con las categorías de datos, finalidades y periodo de vigencia que se registran si es otorgado o revocado.
  • Acuerdo (Agreement): El "contrato" compilado y versionado para un sujeto específico. Referencia las versiones exactas de los Privacy Documents y los Consent Templates que el usuario vio al dar su consentimiento.
  • Evidencia (Evidence): El registro inmutable que prueba la existencia y los cambios del Agreement.

Principios de diseño

Inmutabilidad de eventos críticos

En Soyio, las acciones relevantes para privacidad (consentimientos, solicitudes de titulares y disclosures) se registran como eventos inmutables.

  • Los eventos no se sobrescriben
  • Los cambios generan nuevos eventos
  • El historial completo permanece disponible
Integridad Técnica

Soyio utiliza HMAC-SHA512 y encadenamiento de hashes para garantizar la inmutabilidad. Para más detalles técnicos, consulta la sección de Cadena de custodia.

Esto permite reconstruir con precisión qué ocurrió, cuándo ocurrió y bajo qué contexto y asegurar que no ha sido modificado.

Arquitectura basada en eventos

Soyio no se basa únicamente en el "estado actual". Cada acción relevante genera un evento explícito (por ejemplo, creación o revocación de consentimientos o solicitudes de ejercicio de derechos).

Este enfoque permite:

  • Auditoría temporal
  • Análisis forense
  • Reconstrucción histórica de decisiones
  • Evidencia verificable ante terceros

Versionado explícito

Versionado de documentos y templates

Los siguientes elementos están versionados explícitamente:

Cada cambio:

  • Crea una nueva versión
  • Mantiene referencia a versiones anteriores
  • Preserva el contenido histórico completo

Nunca se pierde el contexto bajo el cual una decisión fue tomada.

Versionado de decisiones

Un consentimiento no es simplemente un valor booleano.

Cada decisión queda asociada a:

  • Una versión específica del template de consentimiento. Para facilitar esta trazabilidad, cada consent_action incluye el campo consent_template_version.
  • Una versión específica del documento (Agreement)
  • Un conjunto concreto de finalidades (Data Permissions)
  • Un momento en el tiempo
  • Un canal y contexto determinados

Esto asegura que las decisiones puedan ser interpretadas correctamente incluso años después.

Trazabilidad end-to-end

Soyio permite trazar una acción desde su origen hasta su impacto.

Para cualquier consentimiento, solicitud o disclosure es posible identificar:

  • El evento que lo originó
  • La versión del documento aplicable
  • La entidad y producto involucrados
  • Las acciones posteriores relacionadas

Esto permite responder preguntas como:

  • ¿Qué texto aceptó exactamente este usuario?
  • ¿Qué versión estaba vigente en ese momento?
  • ¿Quién inició la acción?
  • ¿Qué ocurrió después?

Tipos de evidencia

La evidencia documenta cómo ocurrió un evento relevante dentro de la plataforma, proporcionando trazabilidad y soporte verificable para auditorías. Cada evidencia contiene información técnica, legal y contextual que permite demostrar cumplimiento.

Existen distintos tipos de evidencia según el módulo o proceso al que se asocie.

Componentes de la Evidencia

Cada evidencia en Soyio no es solo un log, sino un objeto estructurado que incluye:

  1. Contexto: Qué se aceptó (versión del Agreement).
  2. Sujeto: Quién aceptó (Identity/Entity).
  3. Método: Cómo se aceptó (Canal, IP, User Agent).
  4. Prueba Visual: Registro visual reconstruido a partir de la versión del template asociada.

Para más información sobre el esquema JSON, consulta la API Reference.

Evidencia de consentimiento

Registra el mecanismo mediante el cual se otorgó o revocó un consentimiento. Estas evidencias se generan automáticamente cada vez que se crea o modifica el consentimiento y quedan reflejadas en el Agreement del usuario.

Cada evidencia incluye componentes clave:

  • Método de Consentimiento: Canal (Web, WhatsApp) y facilitador técnico.
  • Método de Identificación: Vinculación criptográfica con la Identidad o Entidad.
  • Registro Visual: Un PDF Registry reconstruido desde la versión del template asociada al consentimiento, eliminando ambigüedades sobre los textos mostrados.

Ejemplos de eventos que generan evidencia:

  • Aceptar un consentimiento en un flujo web o móvil
  • Revocar un consentimiento desde el perfil de privacidad
  • Registrar un consentimiento en un chatbot de WhatsApp
  • Revocar un consentimiento a través de un canal de atención telefónico

Evidencia de ejercicio de derechos

Cada solicitud de ejercicio de derechos (acceso, rectificación, supresión, oposición, etc.) también genera evidencias que:

  • Registran la recepción de la solicitud
  • Documentan el proceso de validación e identidad del solicitante
  • Guardan el resultado final (resuelta, rechazada, en curso)

Evidencia técnica o de autenticación

Existen evidencias más acotadas, pero igualmente trazables, asociadas a:

  • Validación de identidad
  • Autenticación
  • Firma digital

Rastro de auditoría

Para cada evento relevante, Soyio registra información suficiente para auditoría, incluyendo:

CampoDescripción
TimestampMomento exacto del evento (UTC).
Tipo de acciónNaturaleza del evento (grant, revoke, request, etc.).
ActorQuién inició la acción (Usuario final, Sistema, API Client).
IdentificadoresEntity, producto y titular involucrados.
Origen / Correlation IDIdentificador para correlacionar con logs de sistemas externos.
ReferenciasVersiones de documentos y templates utilizados.
MetadatosInformación contextual adicional (canal, método, IP, etc.).

Este rastro de auditoría habilita:

  • Auditorías internas
  • Revisiones de terceros
  • Requerimientos regulatorios
  • Evidencia para certificaciones de seguridad y privacidad

Cadena de custodia y Tamper-evident logging

El rastro de auditoría de Soyio no es un simple registro de texto plano; es una cadena asegurada criptográficamente.

  • Tamper-Evident Logging: Cada entrada en el log se firma utilizando HMAC-SHA512. Esto garantiza que el contenido del evento (quién, qué, cuándo) no ha sido alterado desde su creación.
  • Cadena de Custodia (Hash Chaining): Cada nuevo evento incluye en su firma el hash del evento inmediatamente anterior (previous_integrity_hash). Esto crea una cadena ininterrumpida (conceptualmente similar a una blockchain) que permite verificar matemáticamente la integridad de toda la historia. Si un solo registro en el pasado fuera eliminado o modificado, la validación de la cadena fallaría en todos los eventos subsiguientes.

Reportes de auditoría y cumplimiento

Toda la información registrada en los objetos de evidencia puede utilizarse para generar reportes de auditoría y cumplimiento regulatorio. Estos reportes se generan en formatos solicitados por las instituciones reguladoras y también están disponibles en formatos JSON o PDF.

Los tipos de reportes incluyen:

  • Reportes de auditoría de consentimiento: generados por usuario o propósito, con filtros por periodo
  • Reportes regulatorios de gestión de derechos: demuestran cumplimiento de plazos legales y trazabilidad de respuesta
  • Reportes de validación de identidad: documentan los chequeos realizados para validar la identidad del solicitante

Casos de uso prácticos

Auditoría regulatoria

Requerimiento: "Demuestre qué consentimiento tenía este titular el 12 de marzo de 2025."

Con Soyio puedes reconstruir:

  • La versión del documento vigente en esa fecha
  • Las finalidades aceptadas
  • El evento de consentimiento
  • La evidencia temporal correspondiente

Cambio de política de privacidad

Requerimiento: "¿A quién afecta este cambio y desde cuándo?"

Con el modelo de versionado y eventos de Soyio puedes:

  • Identificar versiones impactadas
  • Mapear consentimientos históricos
  • Determinar si es necesario un nuevo consentimiento

Respuesta a solicitud de acceso

Requerimiento: "Proporcione el historial completo de consentimientos de este usuario."

Con Soyio puedes entregar:

  • Todas las versiones del Agreement
  • Los eventos que originaron cada cambio
  • Las evidencias asociadas a cada decisión

Comportamientos intencionales del sistema

Para asegurar confianza y consistencia, Soyio:

  • No borra eventos históricos
  • No reescribe decisiones pasadas
  • No modifica consentimientos de forma retroactiva

Todo cambio es explícito, trazable y auditable.

Estos comportamientos son intencionales y no pueden ser modificados. Garantizan la integridad de la evidencia ante cualquier auditoría o requerimiento regulatorio.

Anexo: Marco Normativo y Estándares

El diseño de trazabilidad de Soyio da respuesta directa a los requerimientos de responsabilidad proactiva ("Accountability") presentes en las normativas modernas.

Brasil (LGPD)

  • Art. 8: Establece que la carga de la prueba recae sobre el controlador para demostrar que el consentimiento fue obtenido conforme a la ley. Soyio mantiene el ciclo de vida completo (incluyendo revocaciones) para este fin.

California (CCPA / CPRA)

  • Auditability: Aunque opera bajo un modelo de "Opt-out" (Do Not Sell) y "Opt-in" (menores), las empresas deben mantener registros de las solicitudes de los consumidores durante al menos 24 meses para demostrar cumplimiento.

Chile (Ley 21.719 - Nueva Ley de Datos)

  • Principio de Responsabilidad: Los responsables deben implementar medidas para asegurar y demostrar el cumplimiento.
  • Trazabilidad: Esencial ante fiscalizaciones de la Agencia de Protección de Datos.

Colombia (Ley 1581)

  • Prueba de la Autorización: El Artículo 9 exige que los responsables conserven prueba del cumplimiento del deber de obtener autorización. Soyio automatiza la conservación de esta prueba.

Ecuador (LOPDP)

  • Responsabilidad Proactiva: Exige demostrar que se cuenta con la base legal (consentimiento) adecuada antes del tratamiento.

GDPR (Europa)

  • Art. 7(1): Exige que el responsable sea capaz de demostrar que el interesado consintió. La arquitectura de evidencia inmutable de Soyio cumple esta función probatoria.

ISO 27701 (Gestión de Privacidad)

  • Cláusula 7.2.3: Requiere mantener registros de consentimiento que incluyan el tiempo, método y contenido del mismo. Los registros de Evidencia de Soyio cubren estos puntos sistemáticamente.

México (LFPDPPP)

  • Carga de la Prueba: El responsable tiene la obligación de acreditar que obtuvo el consentimiento del titular. La evidencia inmutable de Soyio facilita el cumplimiento del principio de Responsabilidad.

Perú (Ley 29733)

  • Carga de la Prueba: El reglamento establece que corresponde al banco de datos o responsable del tratamiento acreditar la existencia del consentimiento.
Aviso Legal

Esta sección es meramente informativa y busca facilitar la alineación técnica con normativas globales. No constituye asesoría legal. Recomendamos validar sus obligaciones de cumplimiento con su equipo legal.

Próximos pasos