Almacenamiento de datos y prácticas de privacidad

Plantillas de prompts de IA

Copie un prompt en Claude, ChatGPT o Gemini. Pegue su documento al final y ejecute.

Pegue un documento para obtener una evaluación de calidad con puntuación, evidencia y prioridades de revisión.

6,611 caracteres
Usted es un experto en protección de datos y privacidad para proyectos de M&E e investigación. Evalúe la sección de almacenamiento y privacidad de datos del documento que le proporcionaré utilizando la rúbrica a continuación. La sección puede estar integrada en una metodología, un informe de inicio, un capítulo de ética o un plan de gestión de datos independiente. El objetivo es valorar si las prácticas son operativas y conformes en lugar de aspiracionales.

RÚBRICA DE EVALUACIÓN - Almacenamiento de Datos y Prácticas de Privacidad
Puntúe cada dimensión de 1 a 5 utilizando los siguientes criterios:

DIMENSIÓN 1: Ubicación de Almacenamiento y Acceso
- Puntaje 5: La ubicación de almacenamiento está nombrada específicamente (plataforma, servidor, región de la nube o clase de dispositivo) con sus características de seguridad. Los controles de acceso están documentados: quién está autorizado, por nombre o rol; cómo se otorga la autorización; cómo se revoca cuando el personal sale o cambia de función; si los accesos quedan registrados. El acceso diferenciado por rol está descrito (recolector vs. analista vs. investigador principal).
- Puntaje 4: Al menos tres de cuatro elementos presentes. Ubicación de almacenamiento y lista de accesos claras; revocación o registro parciales.
- Puntaje 3: Almacenamiento mencionado pero no especificado. Controles de acceso descritos en principio, no operacionalizados. Revocación ausente.
- Puntaje 2: Declaración genérica de que los datos se almacenarán de forma segura. Sin plataforma, sin lista de accesos, sin revocación.
- Puntaje 1: Sin información sobre almacenamiento ni accesos.

DIMENSIÓN 2: Manejo de Identificadores
- Puntaje 5: El enfoque hacia los DPI está completamente descrito. La anonimización o seudonimización está especificada en las etapas relevantes (recopilación, análisis, presentación). Los identificadores directos se almacenan por separado de los datos de respuesta con un protocolo documentado de manejo de claves. Las condiciones y la autorización para la reidentificación (si aplica) están declaradas. Los riesgos de cuasi-identificadores (por ejemplo, poblaciones pequeñas, combinaciones raras) se abordan en el análisis y la presentación.
- Puntaje 4: Al menos tres de cuatro elementos presentes. Separación y anonimización claras; condiciones de reidentificación o manejo de cuasi-identificadores parciales.
- Puntaje 3: Anonimización mencionada pero no operacionalizada. Separación de identificadores no descrita. Riesgo de cuasi-identificadores no abordado.
- Puntaje 2: Identificadores y DPI mencionados de pasada. Sin plan de anonimización, sin separación.
- Puntaje 1: Sin manejo de identificadores descrito.

DIMENSIÓN 3: Seguridad de la Transferencia
- Puntaje 5: Cada transferencia de datos en el ciclo de vida está descrita y asegurada. La transferencia de recopilación a almacenamiento está cifrada en tránsito (protocolo o servicio nombrado). La transferencia de almacenamiento a análisis utiliza canales autorizados con cifrado. La transferencia entre miembros del equipo utiliza solo herramientas aprobadas. Las transferencias inseguras (correo personal, mensajería de consumo, USB sin cifrar) están explícitamente prohibidas. Las transferencias entre organizaciones se rigen por un acuerdo de intercambio de datos.
- Puntaje 4: Al menos tres de cuatro elementos presentes. Cifrado y canales aprobados nombrados; una etapa de transferencia o prohibición parcial.
- Puntaje 3: Seguridad de transferencia mencionada en principio. Cifrado referenciado pero canales no nombrados. Transferencia entre organizaciones no abordada.
- Puntaje 2: Declaración genérica de que las transferencias serán seguras. Sin protocolos, sin canales, sin prohibiciones nombradas.
- Puntaje 1: Sin seguridad de transferencia descrita.

DIMENSIÓN 4: Retención y Destrucción
- Puntaje 5: El plazo de retención está declarado para cada categoría de datos (datos brutos, datos limpios, identificadores, productos derivados). El enfoque de destrucción está descrito (eliminación segura, certificado de destrucción, destrucción física de los soportes). La parte responsable de la destrucción está nombrada. Un mecanismo de verificación (firma, entrada de registro) está nombrado. Cuando la retención es requerida por un donante o un mandato legal, la fuente está citada.
- Puntaje 4: Al menos tres de cuatro elementos presentes. Plazo y enfoque de destrucción claros; parte responsable o verificación parciales.
- Puntaje 3: Plazo de retención mencionado pero no diferenciado por tipo de datos. Enfoque de destrucción genérico. Responsabilidad poco clara.
- Puntaje 2: Declaración genérica de que los datos se retendrán o destruirán de forma apropiada. Sin plazo, sin método.
- Puntaje 1: Sin información sobre retención ni destrucción.

DIMENSIÓN 5: Marco de Cumplimiento
- Puntaje 5: El régimen aplicable de protección de datos está nombrado (por ejemplo: RGPD, UK GDPR, ley nacional de protección de datos, política de datos del donante, política organizacional). Los requisitos específicos del régimen nombrado están vinculados a las prácticas anteriores (por ejemplo: base legal del tratamiento, proceso de derechos del titular, reglas de transferencia transfronteriza, oficial de protección de datos o punto focal). Cuando se aplican varios regímenes, la relación entre ellos está declarada.
- Puntaje 4: Al menos tres de cuatro elementos presentes. Régimen nombrado y vinculado a las prácticas; transferencia transfronteriza o punto focal parciales.
- Puntaje 3: Cumplimiento mencionado de forma genérica ("cumpliremos la ley de protección de datos") sin nombrar el régimen ni los requisitos específicos.
- Puntaje 2: Sin régimen aplicable nombrado. Cumplimiento afirmado sin marco.
- Puntaje 1: Sin marco de cumplimiento descrito.

FORMATO DE SALIDA:
Devuelva su evaluación como una tabla seguida de un resumen:

| Dimensión | Puntaje (1-5) | Evidencia | Revisión Prioritaria |
|-----------|---------------|-----------|----------------------|
| Ubicación de Almacenamiento y Acceso | | | |
| Manejo de Identificadores | | | |
| Seguridad de la Transferencia | | | |
| Retención y Destrucción | | | |
| Marco de Cumplimiento | | | |

**Total: X/25**
**Nivel:** Sólido (22-25) / Adecuado (17-21) / Requiere Revisión (11-16) / Revisión sustancial (5-10)
**Revisión más importante:** [Una oración específica]

Para cualquier dimensión puntuada con 1 o 2, añada una breve explicación y un ejemplo de revisión concreto.

SECCIÓN DE ALMACENAMIENTO Y PRIVACIDAD DE DATOS A EVALUAR:
[Pegue aquí su sección de almacenamiento y privacidad de datos]

Criterios de evaluación

DimensiónExcelente (5)Bueno (4)Adecuado (3)Requiere mejora (2)Insuficiente (1)
Ubicación de almacenamiento y accesoUbicación de almacenamiento nombrada específicamente. Lista de accesos documentada. Procedimientos de otorgamiento y revocación definidos. Registro de auditoría en funcionamiento. Acceso diferenciado por rol descrito.Al menos tres de cuatro elementos. Almacenamiento y lista de accesos claros; revocación o registro parciales.Almacenamiento mencionado pero no especificado. Controles de acceso en principio, no operacionalizados. Revocación ausente.Declaración genérica de "almacenado de forma segura". Sin plataforma, sin lista de accesos.Sin información sobre almacenamiento ni accesos.
Manejo de identificadoresAnonimización o seudonimización especificada por etapa. Identificadores almacenados por separado con protocolo de manejo de claves. Condiciones de reidentificación declaradas. Riesgo de cuasi-identificadores abordado.Al menos tres de cuatro elementos. Separación y anonimización claras; condiciones de reidentificación o cuasi-identificadores parciales.Anonimización mencionada, no operacionalizada. Sin separación. Riesgo de cuasi-identificadores no abordado.Identificadores mencionados de pasada. Sin plan, sin separación.Sin manejo de identificadores descrito.
Seguridad de la transferenciaCada transferencia descrita y asegurada con protocolos nombrados, canales aprobados, prohibiciones de herramientas inseguras y acuerdo de intercambio de datos entre organizaciones.Al menos tres de cuatro elementos. Cifrado y canales nombrados; una etapa o prohibición parcial.Transferencia mencionada en principio. Cifrado referenciado pero canales no nombrados. Transferencia entre organizaciones no abordada.Declaración genérica de que las transferencias serán seguras. Sin protocolos, sin canales.Sin seguridad de transferencia descrita.
Retención y destrucciónPlazo por categoría de datos. Enfoque de destrucción descrito. Parte responsable nombrada. Mecanismo de verificación en funcionamiento. Mandatos legales o del donante citados cuando aplique.Al menos tres de cuatro elementos. Plazo y destrucción claros; parte responsable o verificación parciales.Plazo no diferenciado por tipo de datos. Destrucción genérica. Responsabilidad poco clara.Declaración genérica de "retenido o destruido apropiadamente". Sin plazo, sin método.Sin información sobre retención ni destrucción.
Marco de cumplimientoRégimen aplicable de protección de datos nombrado. Requisitos específicos vinculados a las prácticas. Transferencia transfronteriza o punto focal abordado. Relación entre varios regímenes declarada.Al menos tres de cuatro elementos. Régimen nombrado y vinculado a las prácticas; transferencia transfronteriza o punto focal parciales.Cumplimiento mencionado de forma genérica sin nombrar régimen ni requisitos.Sin régimen aplicable nombrado. Cumplimiento afirmado sin marco.Sin marco de cumplimiento descrito.

Interpretación del puntaje

Total (sobre 25)NivelPróximo paso
22-25SólidoLas prácticas de almacenamiento y privacidad son operativas y conformes. Aprobar con ajustes menores.
17-21AdecuadoAborde las dimensiones señaladas antes de salir a campo. Corrección más probable: nombrar el régimen de cumplimiento y especificar los plazos de retención por categoría de datos.
11-16Requiere revisiónSe requiere revisión sustancial. Use el prompt de revisión para operacionalizar el almacenamiento, la transferencia y la retención antes de cualquier recopilación de datos.
5-10Revisión sustancialLas prácticas no superan el umbral de protección de datos. Reconstruya partiendo del régimen de cumplimiento aplicable y de una plataforma y arquitectura de acceso específicas.