gdpr-audit-prep
por alirezarezvanigdpr-audit-prep ayuda a los equipos a poner a prueba su preparación GDPR con seis preguntas de DPO citadas por artículo para detectar brechas en RoPA, base jurídica, DPIA, transferencias, brechas de seguridad, retención y evidencia antes de auditorías o procesos de due diligence.
Esta skill obtiene 73/100, lo que significa que es aceptable para aparecer en el directorio como un prompt enfocado en preparación de auditorías GDPR, con una estructura de interrogación más clara para agentes que un prompt genérico de cumplimiento. Los usuarios del directorio deberían verla como una checklist ligera con enfoque de DPO para poner a prueba la preparación GDPR, no como un sistema completo de auditoría con plantillas, scripts o referencias legales de apoyo.
- Activador y casos de uso claros: el comando `/cs:gdpr-audit-prep <scope>` está vinculado explícitamente a revisiones anuales de GDPR, respuesta ante brechas, preparación para investigaciones de DPA y due diligence en adquisiciones.
- Núcleo operativo útil: la skill se centra en seis preguntas de DPO con citas a artículos, incluidos el artículo 30 sobre RoPA, la base jurídica del artículo 6, los desencadenantes de DPIA y los artículos 33-34 relacionados con brechas.
- Buen apoyo para que el agente cuestione la información: el formato de preguntas obligadas ayuda a detectar evidencia de cumplimiento faltante en lugar de generar comentarios genéricos sobre GDPR.
- No incluye archivos de apoyo, referencias, scripts, plantillas ni guía de instalación, por lo que los usuarios solo obtienen el flujo de trabajo de SKILL.md.
- La evidencia del repositorio apunta a un nivel limitado de detalle práctico más allá de la revisión en formato de checklist, lo que puede no bastar para equipos que necesitan un paquete completo de auditoría GDPR.
Descripción general de la skill gdpr-audit-prep
Qué hace gdpr-audit-prep
gdpr-audit-prep es una skill de revisión de cumplimiento diseñada para poner a prueba la preparación frente al GDPR mediante seis preguntas con enfoque de DPO y citas a artículos concretos. Está pensada para que un asistente de IA cuestione la evidencia de privacidad, no para que genere una lista de verificación superficial. Su función principal es sencilla: antes de una auditoría, una respuesta ante brecha, una interacción relacionada con un DPA, una DPIA, una actualización del RoPA o una revisión por adquisición, usa la skill para detectar registros faltantes, bases jurídicas débiles, transferencias no documentadas, reglas de conservación desactualizadas y gestión incompleta de los derechos de los interesados.
Mejor encaje para equipos de revisión de cumplimiento
La gdpr-audit-prep skill encaja mejor con responsables de privacidad, equipos de operaciones legales, personal de apoyo al DPO, responsables de seguridad y cumplimiento, y operadores de startups que se preparan para un escrutinio bajo el GDPR. Es especialmente útil cuando ya cuentas con algunos artefactos —RoPA, DPIA, aviso de privacidad, lista de DPA, evaluación de impacto de transferencias, calendario de conservación, registro de brechas— pero necesitas una revisión estructurada y exigente antes de entregar materiales a asesores legales, auditores, compradores o una autoridad de control.
Qué la diferencia de un prompt genérico sobre GDPR
Un prompt genérico puede resumir obligaciones del GDPR. gdpr-audit-prep es más acotada y más útil para una revisión operativa: formula preguntas de presión vinculadas a artículos específicos del GDPR, con atención a los registros del Article 30, la base jurídica del Article 6, los desencadenantes de una DPIA, las transferencias internacionales, la notificación de brechas y la calidad de la evidencia. El valor no está en que “haga GDPR”; está en ayudar a revelar si la postura de cumplimiento que afirmas puede defenderse con documentación fechada, específica y revisable.
Límites importantes antes de adoptarla
Esta skill no sustituye el asesoramiento legal, a un DPO ni a un programa completo de auditoría GDPR. Además, se distribuye como un único SKILL.md, sin scripts, referencias ni recursos auxiliares incluidos, por lo que conviene entenderla como un activo de flujo de trabajo basado en prompts, no como un escáner automatizado de evidencias. Funciona mejor cuando proporcionas un alcance concreto y documentos reales; es débil si le pides “revisar el cumplimiento GDPR” sin actividad de tratamiento, geografía, lista de proveedores u objetivo de auditoría.
Cómo usar la skill gdpr-audit-prep
Instalación de gdpr-audit-prep y ruta del repositorio
Para un flujo de trabajo con Claude skills, instálala desde la ruta del repositorio:
npx skills add alirezarezvani/claude-skills --skill gdpr-audit-prep
La ubicación upstream es compliance-os/skills/gdpr-audit-prep dentro de alirezarezvani/claude-skills. Empieza leyendo SKILL.md; no hay README.md, rules/, references/, resources/ ni scripts separados que inspeccionar para esta skill. Eso hace que la instalación sea directa, pero también significa que tu propio paquete de evidencias y la forma en que plantees el prompt tendrán un peso importante en la calidad del resultado.
Entradas que la skill necesita antes de la revisión
Para un buen gdpr-audit-prep usage, proporciona al asistente un alcance definido y la evidencia que quieres someter a revisión crítica. Algunas entradas útiles son:
- Nombre de la actividad de tratamiento, rol de controller/processor, países, interesados y categorías de datos
- Extracto del RoPA con fecha de última actualización
- Base jurídica por finalidad, incluida cualquier evaluación de intereses legítimos
- DPIA o justificación de por qué no se completó una
- Lista de proveedores/subencargados, SCCs, mecanismo de transferencia y notas de riesgo de transferencia
- Calendario de conservación y controles de eliminación
- Registro de brechas o contexto de respuesta a incidentes
- Aviso de privacidad, procedimiento DSAR y registros de consentimiento cuando correspondan
Un prompt débil sería: “Check if we are GDPR compliant.”
Un prompt más sólido sería: “Use gdpr-audit-prep for Compliance Review of our EU customer analytics processing. We are controller, use Mixpanel and AWS, process account IDs, usage events, IP addresses, and support metadata. Review the attached RoPA extract, LIA, DPA list, retention schedule, and privacy notice. Identify audit-facing gaps by GDPR Article, evidence needed, and owner-ready remediation questions.”
Flujo de trabajo práctico para prompts completos
Ejecuta la skill antes de la reunión formal de revisión, no después de que las decisiones ya estén cerradas. Un flujo de trabajo útil es:
- Define el alcance exacto: auditoría anual, actualización del Article 30, lanzamiento de alto riesgo, preparación ante brechas, investigación de DPA o due diligence de M&A.
- Pega o adjunta los artefactos pertinentes en lugar de pedirle que responda de memoria.
- Pide a la skill que responda cada pregunta de presión estilo DPO con:
finding,GDPR Article,evidence seen,evidence missing,riskynext action. - Separa hechos de supuestos. Si el modelo infiere algo, exige que etiquete la inferencia.
- Convierte la primera salida en un registro de remediación con responsable, fecha límite, enlace a evidencia y estado de auditoría.
Consejos para mejorar la calidad del resultado
Pide una revisión adversarial, no tranquilizadora. Frases como “challenge our evidence”, “act as a DPO before supervisory authority engagement” y “do not accept undocumented claims” suelen producir mejores resultados que “summarize compliance”. Si tienes varias actividades de tratamiento, ejecuta gdpr-audit-prep por separado para cada una; la base del Article 6, la conservación, las transferencias y la lógica de DPIA suelen variar según la finalidad.
FAQ de la skill gdpr-audit-prep
¿gdpr-audit-prep es adecuada para principiantes?
Sí, siempre que la persona principiante tenga acceso a documentos reales de privacidad y entienda la actividad de tratamiento. La estructura de seis preguntas de la skill facilita iniciar una revisión GDPR, pero no enseña desde cero todos los conceptos del GDPR. Quienes estén empezando deberían contrastar el resultado con una revisión legal o de un profesional de privacidad antes de hacer afirmaciones externas.
¿Cuándo no debería usar gdpr-audit-prep?
No la uses como única autoridad para interpretación legal, correspondencia con reguladores, decisiones de notificación de brechas o aprobación final de una DPIA. Tampoco encaja bien para diseñar un programa amplio de privacidad, implementar banners de cookies, hacer revisiones solo de CCPA o escanear automáticamente una base de código. Úsala cuando la tarea sea preparación para auditoría GDPR y cuestionamiento de evidencias.
¿En qué se diferencia de una checklist de privacidad?
Una checklist pregunta si existe un elemento. El enfoque de la gdpr-audit-prep guide pregunta si ese elemento es defendible: fechado, alineado con un artículo, vinculado a una finalidad específica de tratamiento y respaldado por registros. Esa diferencia importa porque muchos fallos en auditorías GDPR no se deben a la ausencia total de documentos, sino a RoPAs desactualizados, bases jurídicas mezcladas, afirmaciones de interés legítimo sin respaldo o transferencias transfronterizas no documentadas.
¿Funciona para processors y controllers?
Sí, pero debes indicar qué rol aplica. Los requisitos del Article 30 difieren para controllers y processors, y la evidencia esperada sobre contratos, subencargados, instrucciones y acuerdos de corresponsabilidad cambia de forma sustancial. Si tu organización tiene ambos roles, separa la revisión por relación de tratamiento.
Cómo mejorar la skill gdpr-audit-prep
Mejora gdpr-audit-prep con mejores paquetes de evidencia
La forma más rápida de mejorar los resultados de gdpr-audit-prep es proporcionar un paquete de evidencias antes de pedir conclusiones. Incluye nombres de archivos, fechas, propietarios de documentos y brechas conocidas. Por ejemplo: “RoPA updated 2024-11-02, LIA draft missing balancing test, SCCs signed with vendor but no TIA, retention rule says 24 months but deletion job not evidenced.” Esto ayuda al asistente a distinguir hallazgos de auditoría de simple falta de contexto.
Vigila los fallos habituales
El principal fallo es aceptar lenguaje de cumplimiento vago. Cuestiona resultados que digan “ensure appropriate measures” sin nombrar el registro, el artículo, el control o la prueba faltante. Otro fallo es agrupar finalidades que deberían revisarse por separado; un único flujo de producto puede incluir creación de cuentas, facturación, analítica, prevención del fraude y soporte, cada una con una base jurídica y una lógica de conservación distintas.
Itera desde preguntas hacia remediación
Después de la primera ejecución, pide una segunda pasada que convierta los hallazgos en un plan de acción. Un prompt de seguimiento útil: “Turn the unresolved gdpr-audit-prep findings into a remediation table with priority, GDPR Article, required evidence, accountable team, suggested due date, and what would satisfy an auditor.” Esto vuelve la skill más operativa para una Compliance Review.
Añade contexto de políticas locales antes del uso final
Para usarla en producción, adapta la skill al apetito de riesgo y los estándares documentales de tu organización. Añade tu plantilla de RoPA, reglas de umbral de DPIA, política de escalamiento de brechas, criterios de revisión de proveedores, método de evaluación de transferencias y taxonomía de conservación. La skill se vuelve más fiable cuando revisa contra tu modelo operativo real de cumplimiento, en lugar de hacerlo contra expectativas genéricas del GDPR.
