Antes de responder cualquier pregunta de cumplimiento — ¿qué datos personales tratamos?, ¿dónde están?, ¿quién es responsable? — hay que resolver una más básica: ¿qué columnas de qué tablas contienen datos personales? Esa respuesta es el insumo del inventario de tratamientos que piden normas como la Ley 21.719 de Chile, y sin ella toda política de privacidad es una declaración de intenciones.
La buena noticia: clasificar datos personales no se hace a mano, columna por columna, en una planilla. Un catálogo de datos moderno lo resuelve con clasificaciones estándar + etiquetado automático + revisión humana. En esta guía lo mostramos paso a paso con OpenMetadata, el catálogo open-source que solemos usar de ejemplo — el mismo flujo existe, con otros nombres, en cualquier catálogo serio.
Trabajamos sobre una base de ejemplo (una tienda de películas con su tabla customer), con capturas reales de la interfaz.
El destino: columnas etiquetadas
Así se ve el resultado final. La tabla customer — el registro maestro de clientes — con cada columna clasificada:

Tres cosas que valen la pena notar:
emaillleva la etiquetaSensitive: es el dato que, comprometido, expone directamente a una persona.first_name,last_name,create_dateylast_updatellevanNonSensitive: son datos personales, pero de acceso público o bajo riesgo.- Algunas etiquetas muestran un ícono de engranaje: significa que las aplicó el clasificador automático, no una persona. Las demás fueron decisión humana. Esa distinción — qué etiquetó la máquina y qué confirmó alguien — queda registrada y es auditable.
Paso 1 — Conocer la clasificación PII
En Govern → Classifications vive el árbol de clasificaciones. OpenMetadata trae de fábrica una clasificación PII con tres niveles:

- None — la columna no contiene datos personales.
- NonSensitive — PII de fácil acceso público (un nombre, una fecha de registro).
- Sensitive — PII que, si se pierde o divulga sin autorización, daña a la persona (email, documento de identidad, datos financieros).
Dos detalles importantes de esta clasificación: está marcada Mutually Exclusive (una columna solo puede tener uno de los tres niveles — no puede ser Sensitive y NonSensitive a la vez) y es de tipo System, aunque puedes crear clasificaciones propias (por ejemplo, una alineada a las categorías de tu regulación local — nuestro árbol de ejemplo tiene también PersonalData y Data Sensitivity).
Paso 2 — Dejar que el agente etiquete
Etiquetar 40 tablas a mano no escala; etiquetar 4.000, menos. El trabajo pesado lo hace el AutoClassification Agent: un pipeline que muestrea los datos de cada tabla, aplica reconocedores de patrones (emails, teléfonos, nombres, tarjetas) y asigna la etiqueta PII que corresponda.
En la página del servicio de base de datos, pestaña Agents, se configura y programa:

En nuestro ejemplo, el agente corre cada domingo a las 4 AM y acumula 23 ejecuciones exitosas. Ese es el punto clave: la clasificación no es un proyecto de una vez — es un proceso programado. Si el lunes alguien agrega una columna phone_number, el domingo siguiente el agente la encuentra y la etiqueta, sin que nadie tenga que acordarse.
Paso 3 — Revisar y corregir (la parte humana)
El clasificador automático acierta mucho y se equivoca a veces — por eso las etiquetas automáticas quedan marcadas con su ícono, para distinguirlas de las confirmadas por humanos. La rutina de revisión es simple:
- Abrir las tablas críticas (las que alimentan procesos con datos de clientes).
- Verificar que las etiquetas automáticas tengan sentido en tu contexto: el clasificador no sabe que en tu negocio
codigo_internoes en realidad el documento de identidad del cliente. - Ajustar donde haga falta — con el botón Add de la columna Tags se aplica o corrige la etiqueta en dos clicks.
El resultado no es solo la etiqueta: es el contexto de gobierno alrededor. En la misma pantalla de la tabla quedan visibles el dominio (Customer Management), el equipo responsable (Customer Service), la criticidad (Tier1) y la marca Sensitive a nivel de tabla:

Esa combinación — qué dato es personal + quién responde por él + qué tan crítico es — es exactamente lo que un inventario de tratamientos necesita como insumo.
Lo que la clasificación automática no resuelve sola
Seamos honestos con los límites, porque aquí es donde los proyectos fallan:
- El criterio es tuyo, no de la herramienta. Qué cuenta como sensible depende de tu regulación, tu industria y tu contexto. La herramienta propone; tu política decide.
- Sin ownership, las etiquetas se pudren. Si nadie es responsable de revisar lo que el agente etiqueta, en seis meses el catálogo miente. La clasificación vive dentro de un programa de gobierno — con roles, cadencia y revisión — o no vive.
- La etiqueta no es la política. Marcar
emailcomo Sensitive no restringe el acceso ni define el período de retención: eso lo hacen las políticas y procesos que se apoyan en la etiqueta.
Dicho de otro modo: la clasificación PII es una capacidad técnica dentro de un programa de gobierno de datos, no un producto que se instala y listo. La herramienta puede ser OpenMetadata, el catálogo nativo de tu nube u otra — el programa es lo que hace que funcione.
Empieza por saber dónde estás
Si tu organización todavía no puede responder "¿dónde viven nuestros datos personales?" con evidencia, ese es el primer hueco que cerrar — antes de comprar herramientas y antes de redactar políticas. Nuestro assessment de madurez evalúa exactamente eso: qué capacidades de gobierno tienes hoy, cuáles te faltan y en qué orden cerrarlas según tu contexto regulatorio.