Manual Nymity para Demostrar el Cumplimiento Legal: …/media/NymityAura/Resources/LATAM Webs… ·...

© Nymity Inc. 2016. Este documento está basado en la investigación de Nymity. El contenido de este documento se pone a disposición únicamente para propósitos educativos y no está concebido como, ni constituye asesoría legal. Adicionalmente, la aplicación de las aproximaciones a la gestión de datos personales que se presentan en este documento no constituye garantía de cumplimiento.

Si usted requiere asesoría legal, debe consultar con un abogado, Nymity se reserva todos los derechos sobre

este documento, incluyendo el derecho de autor y cualquier otro derecho de propiedad intelectual. Usted

puede utilizar este documento para sus propios propósitos. Este documento puede ser libremente

redistribuido en su totalidad, siempre y cuando las marcas, logos y la indicación del derecho de autor de

Nymity no sean retirados. Este documento no puede ser vendido con fines de lucro ni usado en documentos

comerciales sin la autorización por escrito de Nymity.

Manual Nymity para Demostrar el Cumplimiento Legal:

una aproximación estructurada a la gestión de protección de datos

Manual para Demostrar el Cumplimiento Legal: 2 Copyright© 2016 Nymity Inc.

Introducción .............................................................................................................................................................3 Sección 1: Demostrar el Cumplimiento Legal……………………………………………………………………………………………………..4

Incentivos para Demostrar el Cumplimiento Legal ..............................................................................................4

Objetivos para demostrar el Cumplimiento Legal ................................................................................................5

Aproximación al Cumplimiento Legal basada en un estándar de Responsabilidad Demostrada ........................6

¿Cómo demostrar el cumplimiento legal usando una aproximación basada en la responsabilidad

demostrada? .........................................................................................................................................................8

Sección 2: Demuestre la Responsabilidad Demostrada y el cumplimiento legal .................................................. 13

Sección 3: Guía de configuración del Accountability Scorecard ........................................................................... 16 Estructura del Scorecard ................................................................................................................................... 16

Identifique y categorice las Actividades de Gestión de Información ................................................................ 16

Configure el Cuaderno de Evidencias ................................................................................................................ 18

Recoja la Evidencia de los Dueños ..................................................................................................................... 20

El Score de Protección de Datos se calcula de manera automática .................................................................. 20

Gestión permanente del Scorecard ................................................................................................................... 21

Apéndice A: Fundamentos de la Gestión Estructurada de Protección de Datos .................................................. 23

Tabla de contenidos


Demostrar el cumplimiento legal en materia de protección de datos personales implica mostrar cómo la

organización cumple con los requerimientos legales, la regulación aplicable, las políticas o cualquier otro

compromiso organizacional tal como un aviso de protección de datos o un código de conducta (Reglas). Este

manual ofrece una introducción a una aproximación a la demostración del cumplimiento legal desde la

perspectiva de la responsabilidad demostrada (accountability) y ofrece instrucciones detalladas sobre cómo

hacerlo. Demostrar el cumplimiento legal desde una aproximación basada en estándares de responsabilidad

demostrada va un paso más allá de la simple demostración de cómo se han alcanzado las metas de

cumplimiento legal; le permite a la organización demostrar cómo se alcanzaron dichos requerimientos y

demuestra la existencia de una gestión estructurada en protección de datos que permite el cumplimiento

legal continuado. En otras palabras, que el cumplimiento legal sea un resultado proactivo y estratégico y no

un simple ejercicio de completar una lista de chequeo.

Desde hace varios años, Nymity ha adelantado investigaciones concretas y observado la implementación y

desarrollo de programas de protección de datos personales en organizaciones alrededor del mundo, de

diversos tamaños, y en todas las diferentes industrias1. Gran parte de nuestras investigaciones se han

enfocado en medir y reportar sobre el estado del cumplimiento legal y la responsabilidad demostrada.

Hemos sostenido conversaciones con oficiales de protección de datos, formuladores de políticas públicas y

autoridades de protección de datos para identificar los factores críticos de éxito para demostrar

efectivamente la responsabilidad. Un resultado clave de estas investigaciones ha sido que entre muchas

aproximaciones, la más efectiva, estructurada y escalable es que el área de protección de datos utilice una

aproximación basada en responsabilidad demostrada para demostrar el cumplimiento legal.

Demostrar el cumplimiento legal en materia de protección de datos es más efectivo cuando resulta de un

diálogo y no de una afirmación binaria de “cumplimiento” o “no cumplimiento”. Esto es así puesto que, a

diferencia de otros tipos de cumplimiento legal, la protección de datos requiere una aproximación basada en

contexto; no existe una repuesta simple. La gestión efectiva en materia de protección de datos está

soportada en la interpretación de los requerimientos, la valoración del riesgo y otros factores subjetivos. Eso

no significa que no exista una respuesta correcta; sí existe una respuesta correcta pero para llegar a esta se

requiere un diálogo sobre el contexto. La investigación de Nymity ha llevado a la conclusión de que la mejor

forma de demostrar el cumplimiento legal es que el oficial de protección de datos articule los factores

subjetivos y objetivos que influencian las decisiones y los resultados. El oficial de protección de datos está en

la mejor posición para entender y poder articular el cumplimiento legal en el contexto de:

Las reglas de protección de datos;

El negocio y las prácticas de tratamiento de datos de la organización;

Cómo la gestión de datos está articulada en toda la organización, y

El potencial riesgo para los titulares y para la organización.

Este manual detalla la forma en que el área de protección de datos puede demostrar el cumplimiento legal

mediante la Contextualización de evidencia frente a las reglas aplicables. También provee una guía para

recoger evidencia de manera efectiva y reportar las mediciones cuantitativas utilizando una hoja de cálculo

1 Nymity es una compañía de investigación fundada en 2002 y parcialmente financiada por el gobierno de Canadá. La investigación de Nymity se centra en el cumplimiento legal en materia de protección de datos, la responsabilidad demostrada, el riesgo y las practicas éticas. Desde 2009 Nymity ha venido adelantando investigaciones en cómo demostrar el cumplimiento legal y la responsabilidad demostrada.

Introducción


de Microsoft Excel® denominada Scorecard Nymity de Protección de Datos y Responsabilidad

Demostrada™2.

Incentivos para Demostrar el Cumplimiento Legal Las leyes y los esquemas modernos de protección de datos requieren la demostración de cumplimiento

frente a las reglas de protección de datos3 y se espera que esta tendencia continúe en la medida que el

panorama regulatorio global mantenga su tendencia de alinearse entre sí. Hay una serie de motivaciones

para demostrar el cumplimiento legal incluyendo:

1. Reglamento General de Protección de Datos de la UE4

La demostración del cumplimiento legal aparece múltiples veces en el Reglamento europeo:

Artículo 5: Principios relativos al tratamiento de datos personales

El parágrafo 1 describe los principios de protección de datos a los que se debe adherir el

tratamiento de datos personales: lícito, justo y transparente, finalidad, minimización de datos,

veracidad, límites al almacenamiento, e integridad y confidencialidad. El parágrafo 2 establece

que "el responsable responderá por y estará en capacidad de demostrar el cumplimiento con el

parágrafo 1 (‘accountability’).”

Artículo 22: Responsabilidad del Responsable

“Tomando en cuenta la naturaleza, alcance, contexto y propósitos del tratamiento así como los

riesgos (…) para los derechos y libertades de los individuos, el responsable deberá adoptar

medidas técnicas y organizacionales adecuadas para asegurar y estar en capacidad de

demostrar que el tratamiento de datos personales se está llevando a cabo en cumplimiento de

este Reglamento (...)”.

El reglamento europeo (RGPD) entra a regir en 2018, momento en el cual las organizaciones que

operan en Europa (o fuera de Europa pero que llevan a cabo tratamientos de datos personales

de ciudadanos europeos) estarán obligadas a cumplir con el Reglamento.

2 En 2014 Nymity puso a disposición una hoja de cálculo gratuita de Microsoft Excel® denominada Scorecard Nymity de Protección de Datos y Responsabilidad Demostrada ™ que fue el resultado de la investigación de Nymity sobre demostración de estándares de responsabilidad demostrada. La segunda generación del Scorecard que se introduce en este manual se puede encontrar en www.nymity.com/pmaf. 3 Reglas: Requerimientos contenidos en una ley, regulación, política, orden, o en otro compromiso tal como un aviso de privacidad o un código de conducta. 4 Texto acordado del Reglamento General de Protección de Datos de la UE, publicado el 15 de diciembre de 2015.

Sección 1: Demostrar el Cumplimiento Legal

Compliance

http://www.nymity.com/pmaf


2. Mecanismos de Transferencias Internacionales de Datos

En aquellos casos en que las transferencias de datos están restringidas por una ley o una

regulación, las organizaciones tienen una serie de opciones para transferir información personal

En la medida que las transferencias se vuelven más complejas, muchas compañías optan por

enlistarse en esquemas voluntarios como las Normas Corporativas Vinculantes (NCV), el Sistema

de Reglas de Flujo Transfronterizo de APEC (CBPR, por sus siglas en inglés), y el Escudo de la

Privacidad de UE – EE.UU (EU-US Privacy Shield). Estos programas requieren que la organización

se comprometa a tratar los datos personales de conformidad con los requerimientos de

transferencia del respectivo país o jurisdicción, inclusive cuando se transfieran a países con

requerimientos menos restrictivos o incluso inexistentes. Los requerimientos para demostrar el

cumplimiento legal varían entre los distintos programas pero en todos los casos la organización

debe estar en capacidad de demostrar que está honrando sus compromisos.

3. Alcanzar las expectativas de las autoridades de protección de datos

Como se explicó antes, algunas leyes de protección de datos están evolucionando en el sentido

de exigir la demostración del cumplimiento legal. En algunos casos, la ley no ha cambiado, pero

la autoridad de protección de datos ha expedido guías y ha manifestado su expectativa de que

las organizaciones estén en capacidad de demostrar el cumplimiento legal. Las autoridades de

protección de datos en Canadá, Hong Kong, Colombia y Australia han publicado guías5 en ese

sentido. Las organizaciones responsables asumen estas guías como un requerimiento legal, y

entienden que no cumplirlas puede traer consigo consecuencias negativas.

En la medida que los datos personales se incorporan más en todos los aspectos de las

operaciones de las compañías, éstas están recibiendo más atención de otras autoridades, como

las financieras y de telecomunicaciones, así como de los sindicatos y organizaciones de

trabajadores. Los oficiales de protección de datos tendrán que estar en capacidad de demostrar

cómo sus usos de datos personales no solo cumplen con las leyes de protección de datos sino

también con la legislación relacionada con esta.

Objetivos para demostrar el Cumplimiento Legal Este manual ofrece instrucciones paso a paso para demostrar el cumplimiento legal basado en una

aproximación de responsabilidad demostrada. El objetivo de usar una aproximación basada en

responsabilidad demostrada es que el área de protección de datos puede contestar la pregunta: cómo

5 Australia, Marco de Gestión de Protección de Privacidad: facilitando el cumplimiento y asegurando las

buenas practicas , www.oaic.gov.au/agencies-and-organisations/guides/privacy-management-framework

Canadá, Entendiendo la Responsabilidad Demostrada con un Programa de Protección de Datos

https://www.priv.gc.ca/information/guide/2012/gl_acc_201204_e.pdf

Colombia, Guía para la Implementación del Principio de Responsabilidad Demostrada

http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf

Hong Kong, Programa de Gestión de Privacidad, Una guía de mejores prácticas

https://www.pcpd.org.hk/pmp/files/PMP_guide_e.pdf

http://www.oaic.gov.au/agencies-and-organisations/guides/privacy-management-framework

https://www.priv.gc.ca/information/guide/2012/gl_acc_201204_e.pdf

http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf

https://www.pcpd.org.hk/pmp/files/PMP_guide_e.pdf


cumple la organización con los requerimientos de la ley de protección de datos, la regulación, política u

otros compromisos tales como el aviso de privacidad o el código de conducta? Nótese la sutil diferencia

entre ¿cómo cumple la organización? y ¿la organización cumple? con todos los requerimientos. La primera

es una pregunta más amplia, abierta, sobre la infraestructura del programa de protección de datos

(responsabilidad demostrada) mientras que la segunda es una pregunta de sí o no sobre el estado actual

(cumplimiento).

Dada la naturaleza dinámica de los negocios, la tecnología y la ley, no resulta práctico aproximarse a a la

gestión de protección de datos con el objetivo de reportar sobre el estado definitivo del cumplimiento en un

momento determinado en el tiempo. Incluso los métodos tradicionales como las auditorías o las

evaluaciones no buscan determinar el estado definitivo del cumplimiento en toda la organización. Las

auditorías y evaluaciones revisan una muestra representativa de eventos pasados, y un tercero saca

conclusiones acerca de la probabilidad de que haya habido cumplimiento dado los resultados entregados

por la muestra. Este tipo de monitoreo es un componente de la aproximación basada en responsabilidad

demostrada (Categoría de Gestión de Datos #12: Monitoree las Prácticas de Manejo de Datos) y cuando se

combina con las otras doce categorías, ofrece un panorama más completo de la gestión permanente en

materia de protección de datos.

Aproximación al Cumplimiento Legal basada en un estándar de Responsabilidad Demostrada Demostrar el cumplimiento legal con base en un estándar de responsabilidad demostrada va un paso más

allá de simplemente mostrar que los requerimientos de cumplimiento han sido alcanzados; le permite a la

organización demostrar cómo se alcanzaron dichos requerimientos y pone de presente la existencia e

implementación de una gestión estructurada de protección de datos que permite el cumplimiento continuo.

En otras palabras, que el cumplimiento legal es un resultado proactivo y estratégico y no un ejercicio de

llenar una lista de chequeo.

La organización ha adoptado un verdadero estándar de responsabilidad demostrada cuando tres

componentes se encuentran presentes6:

Responsabilidad: las actividades de gestión de información7 apropiadas se han implementado y se

mantienen de manera constante. Las actividades de gestión de información apropiadas se

determinan con base en los requerimientos de cumplimiento, perfil de riesgo, objetivos de negocio y

el contexto del tratamiento de datos (tipo de datos tratados, naturaleza del tratamiento, finalidades

de la recolección, uso, etc.).

Control: Las actividades de gestión de información están implementadas en toda la organización. En

la mayoría de los casos, el área de protección de datos trata muy pocos datos personales (si es que

lo hace). Como tal, para que la gestión de protección de datos sea efectiva, debe ser implementada

dentro de cada función o unidad de negocio que lleva a cabo tratamientos de datos personales.

Evidencia: cuando las actividades de protección de datos están siendo mantenidas, se produce

documentación. Esa documentación se puede usar como Evidencia de la responsabilidad

demostrada y del cumplimiento legal. La evidencia puede ser formal (ej. políticas, procedimientos) o

informal (ej. comunicaciones, flujos de trabajo). Cuando se usa una aproximación de responsabilidad

demostrada, la Evidencia siempre será un sub-producto de la actividad de gestión de información,

6 Para una mayor discusión sobre los components de la For further discussion on the components of accountability, please refer to

Appendix A: Fundamentals of Structured Privacy Management. 7 Nymity considers privacy management activities are ongoing procedures, policies, measures, mechanisms, and other initiatives that impact the processing of personal data or that relate to compliance with privacy and data protection laws.


esto es, la Evidencia no se produce por el simple hecho de producirla sino que es el resultado de una

actividad.

El siguiente ejemplo ilustra la diferencia entre una aproximación de responsabilidad demostrada y una

aproximación tradicional de cumplimiento legal:

Ejemplo: Incidente de seguridad/brecha de datos personales

En muchas jurisdicciones, se requiere que las organizaciones le reporten a la Autoridades de

Protección de Datos y le notifiquen a los titulares en la eventualidad de que se produzca un

incidente de seguridad o una brecha de información. Para cumplir con las leyes vigentes sobre

brechas, debe haber ocurrido un incidente de esta naturaleza (de otra manera no será posible

reportar o notificar). Técnicamente, una organización puede estar cumpliendo con la ley si se

esperan hasta tener conocimiento de un incidente, y luego reaccionan a este en consecuencia.

Sin embargo, la mayoría de las organizaciones entienden el riesgo y el impacto de un incidente y en

esa medida se esfuerzan por estar preparadas y de esa manera actuar conforme a un estándar de

responsabilidad demostrada. Implementan actividades de gestión de información tales como planes

de respuesta a incidentes/brechas de protección de datos, pruebas periódicas de los planes,

involucrar a un proveedor de respuesta a incidentes e implementar otras actividades. Las

organizaciones mantienen estas actividades incuso sin que haya ocurrido un incidente. También

entrenan a sus empleados en cómo identificar las brechas y mantienen mediciones de los incidentes

y de las razones de fondo para identificar patrones y tendencias que puedan indicar un problema

sistémico. La organización que tiene estándares de responsabilidad demostrada se encuentra mejor

preparada para lidiar de manera efectiva con la brecha o el incidente y para minimizar el impacto a

sus titulares y a la organización. Por ejemplo, una aproximación responsable gestión de incidentes

puede incluir:

Responsabilidad /Control: el Área de Protección de Datos establece los planes de respuesta a

incidentes, realiza pruebas sobre el plan, provee entrenamiento a los empleados, registra las

mediciones y ayuda a gestionar el proceso de reportes y notificaciones. Las unidades operativas

identifican y escalan los incidentes de acuerdo con el plan y ayudan con las respuestas y las

medidas de control.

Evidencia: plan de respuesta a incidentes, registros de las pruebas hechas al plan, registros de las

brechas, reportes de las brechas e incidentes, mediciones, evidencia de los reportes y

notificaciones.

Ejemplo: Retención de datos

La mayoría de los marcos de protección de datos contienen el requerimiento de que los datos

personales solo se retengan por el tiempo que resulte adecuado con base en el propósito para el

cual fueron recolectados. Una organización relativamente joven puede cumplir fácilmente con este

requerimiento. Por ejemplo, si la organización solo ha estado recolectando información personal por

dos años, pueden justificar estar reteniéndola por ese periodo de tiempo para la mayoría de los

propósitos.

Una organización con un estándar de responsabilidad demostrada, sin embargo, mantiene políticas,

procedimientos y mecanismos para gestionar proactivamente sus tablas de retención de registros.

Esto les ayuda a cumplir de manera permanente así como a racionalizar sus decisiones de cuando

retener o destruir la información. Los convierte en organizaciones con un estándar de


responsabilidad demostrada. Por ejemplo, una organización con un estándar de responsabilidad

demostrada puede incluir:

Responsabilidad/control: El Área de Protección de Datos analiza los requerimientos de las

leyes y regulaciones de protección de datos, entiende las finalidades para las cuales se

recogió la información personal así como los requerimientos relacionados tales como los de

naturaleza laboral, financiera, tributaria u otros y provee insumos a las tablas de retención

documental que muy seguramente son gestionadas por los dueños de los sistemas o los

procesos, Las unidades operativas ejecutan las tablas mediante la configuración de los

sistemas de forma tal que la información se archive o se borre con base en su clasificación, o

manejan de forma manual los registros destruyendo la información de forma segura con

base en las tablas de retención.

Evidencia: políticas de protección de datos, procedimientos de clasificación de información,

tablas de retención, evidencias de configuración de los sistemas y calendarios de archivo.

Los ejemplos de incidentes de seguridad y de retención de datos expuestos sirven para ilustrar las

diferencias entre una aproximación basada en estándares de responsabilidad demostrada y una más

tradicional basada en cumplimiento legal. Los ejemplos sirven para mostrar cómo una aproximación basada

en implementar una gestión estructurada de protección de datos es una aproximación estratégica y es la

mejor manera de asegurar un cumplimiento legal continuado.

¿Cómo demostrar el cumplimiento legal usando una aproximación basada en la

responsabilidad demostrada?

Paso 1: Pruebe la Responsabilidad Demostrada mediante la recolección de evidencia generada por el

despliegue de Actividades de Gestión de Información

La Responsabilidad (mantener las actividades de gestión de información apropiadas) y el Control (distribuir

las actividades de gestión de información a lo largo de toda la organización) son componentes de la gestión

estructurada de protección de datos. Cuando estos dos componentes se implementan, la Evidencia se

genera como un subproducto de mantener las actividades de gestión de información y el área de protección

de datos tiene todos los elementos que requiere para probar la responsabilidad demostrada y después ir un

paso más allá para demostrar el cumplimiento legal.

El área de protección de datos prueba la responsabilidad demostrada mediante la recolección de Evidencia

de las actividades de gestión de información desplegadas y activas en la organización y demuestra el

cumplimiento legal mediante la Contextualización de la Evidencia a una serie de Reglas (requerimientos

legales, regulaciones, políticas u otros compromisos tales como un aviso de privacidad de un código de

conducta).

El área de protección de datos puede usar el Cuaderno de Evidencias8 para acelerar el proceso de

recolección de evidencias de los Dueños de las actividades de gestión de información a través de toda la

organización.

8 Es la hoja de cálculo principal en la herramienta gratuita de MS Excel denominada Scorecard Nymity de Protección de Datos y Responsabilidad Demostrada, disponible en www.nymity.com/pmaf.




Por favor vaya a la Sección 3: Guía de configuración del Scorecard para obtener más detalles sobre cómo

usar el Cuaderno de Evidencias y el Scorecard Nymity de Protección de Datos y Responsabilidad

Demostrada™ que se genera automáticamente cuando el Cuaderno de Evidencias ha sido terminado y que

además puede usarse para reportar sobre el estado del programa de protección de datos.

Paso 2: Demuestre el cumplimiento legal mediante la Contextualización de la evidencia

Usando el Cuaderno de Evidencias, el Área de Protección de Datos ha creado un índice de la documentación

necesaria para demostrar el cumplimiento. El siguiente paso es contextualizar esa evidencia a los

requerimientos específicos.

La protección de datos no es una tarea sencilla, es contextual por naturaleza y muchas veces está sujeta a

interpretación y juicios de valor. No existe ninguna lista de chequeo estándar que una organización pueda

usar para estar en capacidad de afirmar “estamos cumpliendo”; depende de una cantidad de factores, p. ej.

el contexto. Para poder articular la manera como las actividades de tratamiento de datos de la organización

se están llevando a cabo de conformidad con las Reglas (para demostrar el cumplimiento legal), uno debe

entender las actividades en sí mismas, las motivaciones subyacentes, la forma en que las reglas son o no

aplicables y otra cantidad de factores. La investigación de Nymity ha demostrado que los oficiales de

protección de datos están en una posición privilegiada para demostrar el cumplimiento legal. Esto es así

principalmente porque los oficiales de protección de datos tienen la experiencia para interpretar los

requerimientos y los conocimientos para entender cómo se aplican a cada tipo de tratamiento; en otras

palabras, entienden y pueden explicar el contexto de dicho cumplimiento legal.

El contexto en protección de datos incluye:

1. Reglas9

Las organizaciones en muchas jurisdicciones están requeridas a cumplir con leyes y regulaciones

de protección de datos personales. Adicionalmente, muchas veces deben cumplir con políticas o

con otros compromisos tales como avisos de privacidad o códigos de conducta. Estas fuentes de

cumplimiento son referidas aquí como fuentes de Reglas y los requerimientos en sí mismos

como Reglas. El oficial de protección de datos entiende las Reglas y en esa medida está en

capacidad de contextualizar la manera como se aplican a cada tipo de tratamiento.

2. Prácticas en el Tratamiento de Datos

El oficial de protección de datos entiende las prácticas de la organización que involucran

tratamiento de datos personales, incluyendo las operaciones del negocio y las funciones del

back office tales como recursos humanos, mercadeo y finanzas. En la medida en que trabaja con

las partes interesadas a lo largo de la organización, el oficial de protección de datos está en

capacidad de entender y proveer contexto para la forma en que las Reglas se aplican a las

prácticas de la organización.

3. Gestión de protección de datos

El oficial de protección de datos entiende las actividades de gestión de información que se han

implementado a lo largo de la organización y entiende también cómo estas se mantienen.

Muchas decisiones relacionadas con gestión de protección de datos están influenciadas por las

9 Reglas: Requerimientos de una ley, regulación política u otro compromiso tal como un aviso de privacidad o un código de conducta.


Reglas y por cómo se aplican al tratamiento de datos personales; en esa medida, explicar esas

decisiones es un elemento clave de cómo proveer contexto.

4. Riesgo de protección de datos

El oficial de protección de datos entiende el riesgo de daño a los titulares y a la organización10.

Además, puede explicar cómo el riesgo de protección de datos influenció la decisión sobre qué

actividades de gestión de información implementar y por qué. Con relación al riesgo de

protección de datos, otro elemento del contexto es la decisión de priorizar una actividades de

mitigación de riesgo sobre otra cuando los recursos son limitados.

Para algunas actividades de gestión de información, es obvio como la Evidencia puede usarse para

demostrar el cumplimiento legal. Por ejemplo, si una Regla requiere que un aviso de privacidad contenga

ciertos elementos11, es fácil acceder al aviso de privacidad y determinar si dichos elementos se encuentran

presentes. El oficial de protección de datos no tendría la necesidad de contextualizar la Evidencia. En otros

casos, esto no es tan obvio. Por ejemplo, las Reglas muchas veces requieren que la información personal no

sea tratada para finalidades distintas a aquellas para las cuales fue recogida. En este caso, la Evidencia puede

incluir políticas y guías donde se instruya a los empleados sobre este requisito. Estos documentos serán

fácilmente vinculables a la Regla, y serán un buen comienzo, pero no serán suficientes. Estos demuestran

que las guías se expidieron pero no que haya sido seguida. Para demostrar que la protección de datos está

efectivamente integrada a la organización, el área de protección de datos podría mostrar que se requieren

Evaluaciones de Impacto de Privacidad (PIAs) para cualquier recolección o uso nuevo de datos personales12 y

que parte de dicho PIA incluye identificar la finalidades originales de recolección para determinar si ese uso

todavía es consistente. Esta Evidencia probablemente requiere ser contextualizada .

El siguiente ejemplo ofrece una explicación más profunda sobre cómo puede contextualizarse la Evidencia

para responder a la pregunta ¿Cómo cumple la organización con la Reglas?

El oficial de protección de datos puede querer demostrar cómo el equipo de telemercadeo dentro de un call

center cumple con el requerimiento de obtener el consentimiento para recolectar y usar los datos con la

finalidad de vender un producto. El oficial de protección de datos puede usar la documentación existente de

derivada de la gestión de protección de datos (i.e Evidencia) y proveer contexto para demostrar el

cumplimiento legal de la siguiente manera:

Actividad de Gestión de Información: Mantenga una política de protección de datos personales13 Evidencia: Política de protección de datos personales La política de protección de datos contiene una provisión que indica que la organización debe obtener el consentimiento para todos los tipos de tratamiento de datos. Contexto: Reglas, Tratamiento de datos, Gestión de Protección de Datos

10 Lleve a cabo una evaluación corporativa de riesgo en materia de protección de datos en 1. Mantenga una estructura de gobernanza en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 11 Mantenga un aviso de privacidad que detalle las prácticas de la organización en el manejo de datos personales en 8.Mantenga avisos de privacidad en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 12 Mantenga guías y formatos para las Evaluaciones de Impacto de Privacidad en 10. Monitoree las nuevas prácticas operacionales en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 13 Mantenga una política de protección de datos personales en 3. Mantenga una política de Protección de Datos en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.


Habiendo identificado el call center como el punto de recolección de datos personales, así como el uso [Tratamiento de Datos], el área de protección de datos determina que se requiere el consentimiento. La política de protección de datos es una actividad de gestión de información que fija las expectativas para la obtención del consentimiento [Reglas, Gestión de Protección de Datos].

Evidencia: Materiales de entrenamiento en protección de datos El currículo general de entrenamiento en protección de datos para todos los empleados con acceso a información personal14 contiene guías específicas para la obtención del consentimiento, y el entrenamiento específico para los empleados del call center15 contiene lineamientos más específicos sobre cómo y cuándo obtener y registrar el consentimiento cuando se están recolectando datos personales. Contexto: Gestión de Protección de Datos El área de protección de datos puede mostrar que mediante el uso de los entrenamientos generales y específicos, se refuerza la necesidad de obtener el consentimiento y estos además se comunica de manera proactiva [Gestión de Protección de Datos].

Evidencia: Guiones de los Call Centers El call center usa guiones para llevar a cabo actividades de telemarketing que guían a los empleados sobre cómo obtener el consentimiento explícito para llevar a cabo el tratamiento16. Contexto: Regalas, Gestión de Protección de Datos El área de protección de datos puede demostrar que a los empleados se les suministran las herramientas para cumplir con la política [Reglas] toda vez que los guiones contienen un aparte sobre cómo explicar el aviso de privacidad y cómo obtener el consentimiento explícito (Gestión de Protección de Datos).

Evidencia: Capturas de pantalla del CRM El sistema de Gestión de Relaciones con los Clientes (CRM por sus siglas en inglés) contiene un campo donde se registra el consentimiento y las solicitudes de opt-out. Los mecanismos de validación evitan que el usuario hago uso de un registro para una finalidad frente a la cual no se cuenta con la autorización del titular. Contexto: Tratamiento de Datos Toda vez que el oficial de protección de datos entiende cómo se recolecta la información y cómo fluye dentro de la organización (Tratamiento de Datos), el o ella pueden usar el CRM para demostrar que el consentimiento se está obteniendo ya la actividad se está manteniendo.

Evidencia: Consulta al área de protección de datos El director del call center ha contactado al área de protección de datos vía correo electrónico para indagar acerca de cómo aplicar la política de la organización de obtener el consentimiento explícito en aquellas jurisdicciones donde el consentimiento implícito está permitido por la ley. Estos correos electrónicos y las discusiones de seguimiento muestran cómo el área de protección de datos le prestó asistencia al call center para discutir los requisitos sobre consentimiento.

14 Lleve a cabo entrenamientos en protección de datos en 5. Mantenga un programa de capacitación y concientización en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 15 Lleve a cabo entrenamientos en protección de datos con contenidos específicos para los distintos puestos de trabajo en 5. Mantenga un programa de capacitación y concientización en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 16 Integre la protección de datos en las prácticas de telemercadeo en 4. Integre la protección de datos en las operaciones en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.


Contexto: Reglas, Riesgo de Protección de Datos El área de protección de datos puede explicar que aun cuando la ley no requiere que haya un consentimiento explícito en todos los casos (Reglas), han tomado la decisión no obstante de requerirlo siempre. Mediante la simplificación del proceso y optando por el requisito más exigente, será poco probable que la organización incurra en un no cumplimiento (Riesgo de Protección de Datos).

Evidencia: Resultados de las auditorías Una auditoría de las operaciones del call center incluía oír una selección de llamadas grabadas para determinar si el el proceso para obtener el consentimiento se estaba siguiendo17. No se reportó ninguna excepción. Contexto: Gestión de Protección de Datos, Riesgo de Protección de Datos Aun cuando la auditoría interna no fue adelantada por el área de protección de datos, se convierte en documentación que puede ser usada como Evidencia de la responsabilidad demostrada y del cumplimiento legal. El reporte muestra que las llamadas seleccionadas siguieron los requerimientos de la política de protección de datos (Reglas). Por cuanto la política excede el requisito legal (Reglas), el área de protección de datos puede explicar porqué llegaron a la conclusión de que existe un bajo riesgo de no cumplimiento con los requerimientos legales que se refieren al consentimiento (Reglas).

El área de protección de datos estuvo en capacidad de contestar la pregunta: ¿cómo cumple la organización

con las Reglas sobre consentimiento? Nótese que en el ejemplo anterior, el área de protección de datos

estuvo en capacidad de demostrar el cumplimiento legal usando la documentación existente sobre gestión

de protección de datos; no se produjo documentación extra para alcanzar ese propósito Nótese también que

la documentación en sí misma no suficiente para demostrar el cumplimiento legal a alguien que no entienda

las reglas que le aplican a la organización, la forma en que se tratan los datos personales, la manera en que

la protección de datos se encuentra articulada en la organización o el perfil de riesgo. La documentación

requirió que se recurriera al contexto dado por el oficial de protección de datos.

17 Lleve a cabo auditorías internas del programa de protección de datos En 12. Monitoree las prácticas de manejo de datos en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.


La Sección 1 describió el proceso para contextualizar la Evidencia frente a las Reglas18 para poder demostrar

el cumplimiento legal. En esta sección se presentan unas guías detalladas de cómo el área de protección de

datos puede probar la responsabilidad demostrada como un primer paso en el camino de demostrar el

cumplimiento legal. Probar la responsabilidad demostrada es mostrar cómo se ejerce la responsabilidad y

hacer esto verificable19.

Organizaciones alrededor del mundo y en todos los sectores de la economía usan el Scorecard Nymity de

Protección de Datos y Responsabilidad Demostrada™, una herramienta basada en Microsoft Excel®, para

recopilar la Evidencia de las actividades de gestión de información de los Dueños, creando un índice de

documentación (Cuaderno de Evidencias) y automáticamente generando mediciones sobre el estado de la

gestión en protección de datos (Scorecard).

La herramienta genera reportes que le permitirán al área de protección de datos contestar las siguientes

preguntas:

“¿Nuestro programa de protección de datos ha sido diseñado para cumplir con una o más Reglas?”

“La gestión de protección de datos está implementada y mantenida de manera efectiva en un país

específico o en una unidad de negocio específica?”

“¿Dónde se encuentran los vacíos entre el estado actual y el estado deseado (en términos de

cumplimiento)?”

“¿Cómo hace la organización para ir más allá de de los mínimos requeridos para el cumplimiento

legal, para hacer tratamientos responsables de datos personales?”

Aun cuando algunos casos requieren que se dé un diálogo con el área de protección de datos donde la

Evidencia se contextualice frente a las Reglas, no todos los públicos quieren ese nivel de detalle. Por

ejemplo, la Alta Dirección y la Junta Directiva quieren saber el estado de la gestión de datos, pero, siendo

que no son expertos en la materia, requieren una respuesta sencilla que esté soportada por Evidencias y

análisis. Desde 2009, Nymity ha adelantado investigaciones en aproximaciones prácticas a cómo probar la

responsabilidad demostrada. Estas investigaciones han resultado en lo siguiente:

Cuaderno de Evidencias

Una hoja de cálculo que provee una aproximación estructurada para registrar las actividades de

gestión de información, recoger Evidencia de los Dueños e indexar la localización de la

documentación. En el ejemplo anterior sobre el call center, la Evidencia que el área de protección

de datos usó para contextualizar la gestión de datos fue recopilada usando el Cuaderno de

Evidencias.

Scorecard Nymity

Una representación visual del estado del cumplimiento legal, automáticamente generado después

de completar el Cuaderno de Evidencias.

18 Reglas: Requerimientos de una ley, regulación, política, u otro compromiso como un Código de Conducta o un aviso de privacidad. 19 Grupo de Trabajo del Artículo 29 Opinión 3/2010 sobre el principio de responsabilidad demostrada (accountability) http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_en.pdf

Sección 2: Demuestre la Responsabilidad Demostrada y

el cumplimiento legal



http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_en.pdf


Cuaderno de Evidencias El Cuaderno de Evidencias permite una aproximación

eficiente para que el área de protección de datos indexe la

documentación que se produce como consecuencia de la

implementación de las actividades de gestión de

información y que están distribuidas a lo largo de toda la

organización. Mantener registros de esta documentación

en un solo lugar le permite al área de protección de datos

probar la responsabilidad demostrada a solicitud. Si el

Cuaderno de Evidencias se mantiene actualizado, el oficial

de protección de datos se encontrará en capacidad de

demostrar el cumplimiento legal. El o ella tendrán a la mano el estado del programa y podrán responder

rápidamente a las preguntas sobre cómo la organización cumple con las Reglas.

Visualización automática – Accountability Scorecard Completar el Cuaderno de Evidencias automáticamente genera una tabla que permite una demostración

sencilla y de alto nivel sobre el estado de la responsabilidad demostrada de la organización. En la medida

que el oficial de protección de datos actualiza el Cuaderno de Evidencias, el Scorecard se va generando de

manera automática y mostrando los siguientes ítems:

1. Línea de Estado de Gestión del Programa (línea

azul)

El estado del programa de protección de datos en

cualquier momento en el tiempo. El Scorecard

muestra la historia del programa en el tiempo, y le

permite al área de protección de datos contar la

historia de la evolución del mismo.

2. Línea de cumplimiento (Línea verde)

El nivel mínimo para alcanzar el cumplimiento legal;

en otras palabras el punto donde todas actividades de gestión de información obligatorias para alcanzar

el cumplimiento legal se han evidenciado con documentación actualizada.

3. % Gerenciado

Localizado debajo de la Línea de Cumplimiento (Línea

verde) está el porcentaje de actividades de gestión de

información obligatorias 20 que cuentan con Evidencia.

Si el estado es 100% gerenciado el oficial de protección

de datos puede demostrar el cumplimiento.

4. % Avanzado

Localizado arriba de la Línea de cumplimiento (línea verde) están las actividades de gestión de

20 Mandatory privacy management activities are defined by the privacy office and are typically the required privacy management activities to achieve ongoing compliance to one or more Rule sources, for example, a privacy law.

Cuaderno de Evidencias


información que van más allá del cumplimiento legal y en consecuencia, son Avanzadas. Como se explicó

antes, estas se denominan actividades de gestión de información adicionales 21 que se implementan no

porque sean Obligatorias sino porque son parte del objetivo del área de protección de datos de ir un

paso más allá.

Beneficios de usar el Cuaderno de Evidencias y el resultante Scorecard El área de protección de datos puede probar la responsabilidad demostrada simplemente poniendo a

disposición las Evidencias de las actividades de gestión de información. Sin embargo, mediante el uso del

Cuaderno de Evidencias y el resultante Scorecard, se logran los siguientes beneficios adicionales:

1. Comunicación efectiva

El Scorecard le permite al oficial de protección de datos contar la historia de la gestión de información

incluyendo el pasado y el presente, con base en Evidencia. La naturaleza sencilla del Scorecard le

permite al oficial de protección de datos comunicar de manera efectiva el estado mediante contexto,

inclusive frente a audiencias que no tengan un conocimiento profundo de protección de datos. Podrán

explicar que la meta es alcanzar la línea de cumplimiento – si el estado está por debajo de dicha línea

(% Gerenciado), es porque hay vacíos, y si está por encima de la línea (% Avanzado) entonces la

gestión de información está por encima del mínimo requerido para el cumplimiento.

2. Basado en la documentación existente

El Cuaderno de Evidencias le permite al área de protección de datos mantener un registro de la

documentación producida por las actividades de gestión de información. Tener un índice centralizado

facilita el proceso para contextualizar la Evidencia cuando se está demostrando el cumplimiento legal

y el área de protección de datos podrá acceder más rápidamente a la documentación si la requiere

para contestar preguntas o requerimientos. Como se explica en el Anexo A: Fundamentos de la

Gestión Estructurada de Protección de Datos, el área de protección de datos no crea documentación

sólo para demostrar el cumplimiento legal, esta se produce como un subproducto de implementar las

actividades de gestión de información.

3. Flexible y escalable

El Cuaderno de Evidencias y el Scorecard funcionan para organizaciones de cualquier tamaño, en

cualquier jurisdicción y para todos los tipos de tratamientos de datos. Algunas organizaciones usan

múltiples Cuaderno de Evidencias, y crean Scorecards para partes diferentes de la organización, por

ejemplo por país o por unidad de negocio.

21 Las actividades de gestión de información avanzadas son definidas por el área de protección de datos y son aquellas actividades que van más allá del texto literal de la ley; en otras palabras, no son obligatorias.


Esta sección detalla las instrucciones para configurar y usar el Cuaderno de Evidencias que automáticamente

genera el Scorecard.

Estructura del Scorecard

Un programa efectivo de protección de datos requiere que las actividades de gestión de información estén

distribuidas a través de la organización – no solo a nivel del área de protección de datos. Por esta razón, la

mayoría de las organizaciones escogen eventualmente implementar múltiples Scorecards para poder agilizar

el proceso de recolectar la Evidencia y generar mediciones más específicas para ayudar a identificar las

fortalezas y las debilidades.

Hay algunas posibilidades para estructurar una aproximación de múltiples Scorecards. Con base en la

experiencia de Nymity con un número de implementaciones exitosas del Scorecard la mejor aproximación es

muchas veces un híbrido de las siguientes aproximaciones de despliegue:

Funcional/Basada en el uso (p.ej. Mercadeo, Recurso Humanos, Unidades de Negocio): desplegar un

Scorecard para cada unidad operativa es recomendado para aquellas organizaciones donde el tipo

de tratamiento de datos varía a lo largo de la organización. Por ejemplo, en el sector financiero, los

mismos datos personales (datos de clientes) pueden ser usados para prestar servicios o para fines de

marketing. Configurar un Scorecard tanto para el área del negocio core como para el área de

marketing es una buena manera de ver la película completa.

Geográfica: en organizaciones donde el tratamiento de datos personales es relativamente

consistente a lo largo de las diferentes funciones, puede ser apropiado crear diferentes Scorecards

para cada jurisdicción o región. Esto muchas veces sucede cuando el uso principal de los datos

personales es para el departamento de recursos humanos. Desplegar un Scorecard para cada región

hace que resulte más fácil configurarla basándose en los requerimientos locales y comparar el

estado de una región con el de otra.

La mayoría de las organizaciones despliegan el Scorecard para medir, monitorear y reportar sobre las

actividades del área de protección de datos, a manera de prueba antes de adicionar múltiples Scorecards y

de desplegarlas en toda la organización.

Cuando se usan múltiples Scorecards, lleve a cabo los siguientes pasos para cada una de ellas. Un Scorecard

puede tener su propio conjunto de actividades de gestión de información, preguntas de recolección de

Evidencia, respuestas y Evidencia.

Identifique y categorice las Actividades de Gestión de Información

El primer paso para poder medir la gestión en protección de datos es identificar las actividades de gestión de

información relevantes. Esto puede hacerse de varias maneras, bien sea enfocándose en una o más fuentes

Estructura del

Scorecard

Identifique y categorice las Actividades de

Gestión de Información

Configure el Cuaderno

de Evidencias

RecojaEvidencia

de los Dueños

Gestión contínua del

Scorecard

Sección 3: Guía de configuración del Accountability Scorecard


de reglas para el cumplimiento legal o construyendo sobre la base del ejercicio de estudio preliminar que se

detalla en el documento “Una aproximación estructurada a la gestión de datos personales: Manual

Introductorio” que se puede encontrar en https://latam.nymity.com/recursos.

Identifique las Actividades de gestión de información basándose en una aproximación de

cumplimiento legal Demostrar el cumplimiento legal en materia de protección de datos es mostrar que la organización cumple

con los requerimientos de una Regla: una ley, reglamento, política u otro compromiso tal como un aviso de

privacidad o un código de conducta. Una manera sencilla de empezar es identificar las actividades de gestión

de información que se son requeridas por las Reglas. Para hacer esto:

1. Lea la fuente de la Regla, por ejemplo una ley de protección de datos, e identifique las Reglas que requieren Evidencia para demostrar el cumplimiento legal. Dentro de una fuente, puede haber muchas Reglas que no requieren Evidencia. Por ejemplo, las definiciones, excepciones, facultades y funciones de la autoridad, sanciones , etc. En la ley de protección de datos del Reino Unido, hay 219 Reglas (provisiones). Solamente 31 Reglas requieren Evidencia.

2. Para cada Regla que requiere evidencia, identifique las actividades de gestión de información que producen la Evidencia. En otras palabras, las actividades de gestión de información que le ayudarán a mantener un cumplimiento legal continuado de esa Regla.

El estudio Una aproximación estructurada a la gestión de datos personales: Manual Introductorio provee una estrategia de cumplimiento que está basada en los mismos pasos: identificar las Reglas que requieren Evidencia e implementar las actividades de gestión de información que producirían la Evidencia requerida. El Apéndice C de dicho documento, contiene ejemplos de actividades de gestión de información comúnmente implementadas para satisfacer los requerimientos de varias fuentes de Reglas como por ejemplo el Reglamento General de Protección de Datos de la UE, Normas Corporativas Vinculantes, APEC y otros.

Identifique las Actividades de gestión de información con base en el Estudio Preliminar La aproximación basada en Cumplimiento legal que se describió identifica las actividades de gestión de

información con base en las Reglas. Otra aproximación es identificar las actividades de gestión de

información con base en lo que ya se ha implementado en la organización, también conocido como Estudio

Preliminar.

Llevar a cabo un estudio preliminar relativo a la gestión de

protección de datos es una segunda aproximación para identificar

las actividades de actividades de gestión de información para

demostrar el cumplimiento legal. Es estudio preliminar permite

identificar el estado actual de las actividades de gestión de

información cosa que puede hacerse usando el Cuaderno de

Trabajo Nymity de Gestión de Datos Personales (“Cuaderno de

Trabajo”) puesto a disposición por Nymity. El Cuaderno de Trabajo

contiene las actividades de gestión de información contenidas en el

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

™.

Para hacer el estudio preliminar de la gestión existente en materia de protección de datos, identifique cuáles actividades de gestión de información están/son Implementadas, en Progreso, Deseadas y No Aplicables.

NOTA DE IMPLEMENTACIÓN

No Aplicable En virtud de que el Marco es de carácter global, encontrará algunas actividades no relevantes que deberán clasificarse como No Aplicable. Es posible que hasta el 50% de las Actividades de Gestión de Información resulten N/A y para pequeñas y medianas empresas podría llegar hasta el 80%. Un ejemplo de actividades clasificadas como No Aplicable son aquellas relacionadas con el marketing en organizaciones que no adelantan ninguna gestión de mercadeo.

Not Applicable

As the Framework is a

comprehensive, industry and

jurisdiction neutral listing,

many activities will not be

https://latam.nymity.com/~/media/NymityAura/Resources/LATAM%20Website/Una%20aproximación%20estructurada%20a%20la%20gestión%20de%20datos%20personales%20%20-%20Manual.pdf

https://latam.nymity.com/~/media/NymityAura/Resources/LATAM%20Website/Una%20aproximación%20estructurada%20a%20la%20gestión%20de%20datos%20personales%20%20-%20Manual.pdf

https://latam.nymity.com/~/media/NymityAura/Resources/LATAM%20Website/Cuaderno%20de%20Trabajo%20-%20Manual%20Introductorio.ashx

https://latam.nymity.com/~/media/NymityAura/Resources/LATAM%20Website/Cuaderno%20de%20Trabajo%20-%20Manual%20Introductorio.ashx

https://latam.nymity.com/~/media/NymityAura/Resources/LATAM%20Website/Marco%20NYMITY%20de%20Gobernanza%20en%20Privacidad%20y%20Protecci%C3%B3n%20de%20Datos.pdf

https://latam.nymity.com/~/media/NymityAura/Resources/LATAM%20Website/Marco%20NYMITY%20de%20Gobernanza%20en%20Privacidad%20y%20Protecci%C3%B3n%20de%20Datos.pdf


Implementadas: Las Actividades de gestión de información que ya se han puesto en marcha y tienen recursos suficientes par ser mantenidas se categorizan como “Implementadas”.

En Progreso: Si la Actividad de Gestión de Información está en progreso de ser implementada o ha sido programada para ser implementada, se categoriza como “En progreso”.

Deseadas: Actividades de gestión de información que se ha determinado que sí son aplicables a la organización o relevantes para la gestión en protección de datos pero que actualmente no se han “implementado” ni se han asignado recursos para ser implementadas”.

No Aplicable (N/A): Actividades de gestión de información que no son aplicables a la organización (o a la parte de la organización que está siendo evaluada) se categorizan como “N/A”.

Muchas de las actividades de gestión de información serán aplicables a múltiples Scorecards e inclusive podrán tener un estado diferente en cada uno.

Categorice las Actividades de gestión de información La sección anterior describió dos aproximaciones para identificar las actividades de gestión de información.

Si usted selecciona la aproximación de estudio preliminar, las actividades y el estado actual se registrará en

el Cuaderno de Trabajo. Si usted selecciona la aproximación de cumplimiento legal, es posible que quiera

registrarlas en una hoja de cálculo separada.

Todas las actividades de gestión de información deben categorizarse como Obligatorias o Adicionales:

Obligatorias

Actividades de gestión de información que deben ser implementadas para que la organización pueda

cumplir con las Reglas. Típicamente, el oficial de protección de datos escoge una o más reglas Reglas

para empezar e identifica las actividades de gestión de información obligatorias que son necesarias

para lograr un cumplimiento legal continuado.

Adicionales

La mayoría de las organizaciones van más allá de los mínimos requeridos para el cumplimiento legal,

e implementan actividades de gestión de información que no son Obligatorias pero que contribuyen

con el tratamiento responsable de los datos personales. Estas activiades de gestión de información

se categorizan como Adicionales. Algunos ejemplos incluyen:

o Publique materiales para crear conciencia sobre protección de datos (ej. carteleras y videos)

o Monitoree y reporte las mediciones de las quejas de protección de datos (ej. número,

razones de fondo)

o Obtenga un seguro con cobertura de incidentes/brechas de datos personales

Configure el Cuaderno de Evidencias Una vez se ha determinado la estructura del Scorecard y se han identificado las actividades de gestión de

información, el Cuaderno de Evidencias está listo para ser programado.

Cree las preguntas de recolección de Evidencia Para cada actividad de gestión de información el oficial de protección de datos crea una o más preguntas de

recolección de Evidencia. Estas son preguntas cerradas que logran obtener la Evidencia de los Dueños de la

mejor manera posible. Las preguntas cerradas deben ser respondidas con ‘sí’ o ‘no’ para permitir un análisis


cuantitativo. La pregunta debe tener una respuesta de sí o no toda vez que esto es necesario para la

generación automática del Accountability Scorecard.


Las mejores preguntas de recolección de evidencia son sencillas, directas y están escritas en el lenguaje del Dueño que debe responderlas.

Un beneficio del Scorecard es que le permite al área de protección de datos involucrarse con las partes interesadas a lo largo de la organización, así estos no sean expertos en protección de datos. Por ejemplo, si el objetivo es obtener Evidencia para soportar la Actividad de Gestión de Datos “Mantenga comunicaciones regulares entre el área de protección de datos, la red de protección de datos y otras personas responsables en la materia” es mejor especificar el resultado deseado dentro de la pregunta en vez de reescribir la actividad como una pregunta. Preguntar “¿Los individuos responsables por protección de datos se comunican de manera regular?” no será nunca tan efectivo como preguntar “¿Los contactos de protección de datos se reúnen con el equipo central de protección de datos trimestralmente?”. El individuo que responde sabrá exactamente qué se espera de su respuesta y la tarea de suministrar la Evidencia será mucho menos onerosa.

Registre las preguntas de recolección de Evidencia en la columna B del Cuaderno de Evidencias. Las pregunta as que se correspondan con las actividades de gestión de información obligatorias irán en la parte de arriba (empezando en la celda B8) y las actividades de gestión de información Adicionales irán en la parte inferior (empezando con la celda B60).

Asigne Dueños Como se discutió en detalle en el Apéndice A: Fundamentos de una gestión estructurada de protección de datos , el Dueño puede ser el área de protección de datos o un individuo o grupo de individuos en las áreas operativas o de negocio. Nótese que el Dueño no necesariamente completa la actividad de gestión de información, pero en últimas es responsable por ella.

Registre el Dueño de cada actividad en la columna C.

Determine la Frecuencia Para cada Actividad de Gestión de Información, se debe definir una frecuencia. Todas las actividades de

gestión de información deben llevarse a cabo de manera regular- bien sea de manera periódica o continua.

Para cada actividad de gestión de información, el área de protección de datos determina la Frecuencia

apropiada dentro de la cual se debe suministrar la Evidencia. La frecuencia en que se proporciona la


Evidencia no es necesariamente la frecuencia con que se lleva a cabo la actividad. Por ejemplo, para las

actividades que se llevan a cabo de manera continua puede ser suficiente suministrar Evidencia resumida

mensual o trimestralmente.

Registre la Frecuencia de cada actividad en la columna D.

Recoja la Evidencia de los Dueños Después de que se configura el Scorecard por parte del área de protección de datos, el paso siguiente es

recoger la Evidencia. El área de protección de datos recoge las respuestas de las preguntas de recolección de

Evidencia así como la Evidencia que soporta dichas respuestas.

Ingrese la fecha de la actualización inicial en la celda F3. En la medida en que usted va completando las

siguientes secciones para cada Pregunta, el Puntaje se actualizará de manera automática.

La Respuesta contiene dos partes: (1) – una respuesta de sí o no a la Pregunta de Recolección de Evidencia

(columna F), y (2) un comentario para proveer Contexto adicional (columna G).

Evidencia: Todas las Preguntas cuya respuesta sea “sí” requieren Evidencia. El área de protección de datos

puede registrar la Evidencia en la columna H por medio de un link a un URL o una descripción de dónde

puede encontrarse ese documento.

El Score de Protección de Datos se calcula de manera automática Esta sección es para propósitos de información para entender cómo se grafica el score con base en el

Scorecard.

El Score de Protección de Datos representa el estado de la gestión en protección de datos como un

porcentaje de las actividades de gestión de información Obligatorias y Adicionales que están siendo

completadas y evidenciadas de manera permanente. El Score se calcula dividiendo el número de actividades

para las que el Dueño ha entregado Evidencia (p. ej. la Respuesta es “sí”), por el número de actividades

identificadas por el área de protección de datos. El resultado es igual al porcentaje de actividades para las

que se ha registrado Evidencia en esa fecha específica.

% Gerenciado = # de Actividades Obligatorias con Evidencia ÷ # Actividades Obligatorias


Cuando se ha registrado Evidencia para todas las Actividades Obligatorias, el score de protección de datos se

considera 100% Gerenciado, y el estado alcanza entonces la línea de Cumplimiento. Cuando se han

implementado y se ha registrado Evidencia para Actividades Adicionales de gestión de información, la

gestión de protección de datos de la organización ha superado los requisitos mínimos y en consecuencia

adquiere un score avanzado.

% Avanzado = # de Actividades Adicionales con Evidencia ÷ # de Actividades Adicionales


Para configurar el Scorecard (identificar las actividades, formular preguntas, asignar responsabilidades, etc.) se requieren la experiencia y el conocimiento especializado del área de protección de datos que sabe cuáles son los objetivos de gestión de protección de datos de la organización. Calcular el Score, no obstante, no requiere ese conocimiento.

Así, es fácil comparar diferentes áreas de la organización, así como revisar los resultados en el tiempo. Un score de cumplimiento del 80% en un área resulta en una comparación de “manzanas con manzanas” en una jurisdicción diferente o en otra área de negocio.

Hasta el momento en que se alcanza la Línea de Cumplimiento como Gerenciada en un 100%, el porcentaje

Avanzado e muestra como un Score potencial. En otras palabras, las Actividades de gestión de información

adicionales no afectan el Score hasta que todas las Actividades de gestión de información obligatorias se

completan. Aun cuando las Actividades de gestión de información adicionales no afectan el Score total, el

oficial de protección de datos todavía puede responder por ellas y recolectar Evidencia. Esto le permite al

oficial de protección de datos obtener una visión holística de la gestión de datos personales en la

organización.


El Scorecard le permite al oficial de protección de datos y a las partes interesadas a lo largo de la organización ver el impacto inmediato de sus propias actividades y de las actividades de sus contrapartes en el estado general de la gestión de protección de datos. Esto puede ser un motivador muy poderoso para monitorear de manera proactiva el estado y proveer Evidencia antes de que expire la Frecuencia. Una organización incluso se dio cuenta de que los usuarios entran en una especie de sana competencia para ver quién puede obtener el score más alto en la medida que usaban múltiples Scorecards.

Gestión permanente del Scorecard Las Actividades de gestión de información deben llevarse a cabo de manera permanente y la Evidencia debe

ser actualizada o reafirmada. Como tal, el Scorecard debe ser mantenido – puede ser actualizado de manera

periódica (mensualmente, trimestralmente o anualmente) o cuando las respuestas cambien (p. ej. cuando se

proporcione Evidencia para una nueva actividad).

Después de la primera actualización, la Respuesta (sí/no), Comentario y Evidencia se llenarán

automáticamente, refiriendo al lector al estado anterior.


Para actualizar el estado – como consecuencia de una actualización programada – ingrese una nueva fecha

en la celda K2. Identifique cualquier Respuesta que requiera ser actualizada. Las Respuestas deben ser

actualizadas cuando:

La respuesta ha cambiado; por ejemplo, la respuesta era ‘no’ y la actividad ahora se ha completado y

se ha suministrado Evidencia.

La Frecuencia sea ha vencido; por ejemplo, la última actualización fue hace tres meses y la actividad

tiene una frecuencia trimestral.

Para las preguntas que requieren una Actualización, seleccione “Sí” en

la columna “Actualización” para suministrar nuevas respuestas. La

celda automáticamente se resaltará en Amarillo para que sea más

sencillo buscar los cambios que se han hecho de una actualización a la

siguiente.

El Cuaderno de Evidencias permite 20 Actualizaciones por default. Si el

Cuaderno de Evidencias se actualiza trimestralmente, el Scorecard

puede demostrar el cumplimiento legal por un período de cinco años.


Automático La visualización del Accountability Scorecard se actualiza cada vez que una Actualización se incluye en el Evidence Worksheet.


En 2002, Nymity empezó su investigación sobre Responsabilidad Demostrada. En 2012, Nymity potenció su investigación con una serie de talleres prácticos alrededor del mundo, que incluyeron autoridades de protección de datos para examinar qué le implica a las organizaciones “probar” la responsabilidad demostrada a través de una gestión efectiva de protección de datos. Un componente de esta investigación resultó en un entendimiento de que la gestión estructurada en protección de datos personales tiene tres componentes claves: 1. Responsabilidad, 2. Control, y 3. Evidencia.

1. Responsabilidad Las organizaciones responsables implementan y mantienen una serie de actividades de actividades de gestión de información

La investigación de Nymity dio como resultado el Marco Nymity de Gobernanza en Privacidad y Protección de Datos™ (el “Marco”). Este Marco forma la base para el elemento de “Responsabilidad” en una aproximación estructurada a la gestión de protección de datos.

El Marco no es una lista de chequeo de actividades que deben ser completadas; más bien, se trata de un menú para gestionar programas de protección de datos personales que puede ser adaptado a cualquier organización. La gestión de protección de datos no es igual en ninguna organización, y en consecuencia este Marco brinda la flexibilidad necesaria para planear, escalar y comunicar eficazmente la gestión de dichos programas. El Marco no se basa en principios ni en controles, sino en actividades de gestión de información que pueden ser monitoreadas. Es un listado completo, jurisdiccional e industrialmente neutro, de más de 130 actividades de gestión de información organizadas en 13 Categorías de Gestión de Datos.

En una aproximación estructurada a la gestión de protección de datos, la responsabilidad significa implementar y mantener de manera permanente las Actividades de gestión de información (Actividades) que son relevantes para esa organización en concreto. Las actividades de gestión de información son procedimientos, políticas, medidas, mecanismos y otras iniciativas que impactan el tratamiento de datos personales o que se relacionan con el cumplimiento de las leyes de protección de datos personales. Las Actividades apropiadas se determinan con base en los requerimientos de cumplimiento, el perfil de riesgos, los objetivos de negocio y el Contexto de l tratamiento de datos (tipo de datos tratados, naturaleza del tratamiento, finalidades de la recolección, uso y puesta a disposición, etc.) de la organización.

2. Control Un individuo responde por la gestión y el monitoreo de cada una de las actividades de gestión de información

El control es el segundo elemento de la gestión estructurada de protección d datos y se construye sobre el elemento anterior de Responsabilidad. Aun cuando el Oficial de Protección de Datos es responsable por el cumplimiento legal en la materia, el área de protección de datos en sí misma usualmente trata muy pocos datos personales, si es que lo hace. Como tal, la efectividad del programa de protección de datos se basa en que se lleven a cabo las actividades de gestión de información apropiadas en todos los puntos del ciclo de

Apéndice A: Fundamentos de la Gestión Estructurada de Protección de Datos

Categorías de Gestión de Datos Personales

1. Mantenga una estructura de gobernanza

2. Mantenga un inventario de datos personales

3. Mantenga una Política de Protección de Datos

4. Integre la protección de datos en las operaciones

5. Mantenga un programa de capacitación y concientización

6. Gestione los riesgos de seguridad de la información

7. Gestione los riesgos con terceros

8. Mantenga avisos de privacidad

9. Responda a las peticiones y quejas de los individuos

10. Monitoree las nuevas prácticas operacionales

11. Mantenga un programa de gestión de incidentes y vulneraciones de datos

12. Monitoree las prácticas de manejo de datos

13. Haga seguimiento a criterios externos


vida del dato personal, desde el punto de recolección hasta el punto de destrucción. El Control de algunas actividades de gestión de información recaerá en las unidades operativas y de negocio, por ejemplo, recursos humanos, marketing, desarrollo de productos, TI, servicio al cliente, etc., toda vez que allí es donde se está recolectando y tratando realmente la información personal.

Las Actividades de gestión de información pueden ser:

Mantenidas por el área de protección de datos, por ejemplo: o Mantenga una política de protección de datos personales o Lleve a cabo entrenamientos en protección de datos o Mantenga un aviso de privacidad que detalle las prácticas de la organización en el manejo de

datos personales o Identifique de manera continua los requerimientos sobre cumplimiento legal (compliance)

(ej. leyes, jurisprudencia, regulación, etc.).

Influenciadas u observadas por el área de protección de datos, por ejemplo: o Integre la protección de datos en las prácticas de marketing directo o Integre la protección de datos en una política de seguridad de la información o Lleve a cabo procesos de debida diligencia (due diligence) de las prácticas de protección de

datos y seguridad de la información de los potenciales proveedores/encargados

La Tabla 0.1 ofrece ejemplos de las actividades de gestión de información dentro de cada una de las 13 Categorías de Gestión de Datos llevadas a cabo por distintas partes interesadas dentro de la organización.

Categorías de Gestión de Datos

Actividades cuyo dueño es el Área de protección de datos – Ejemplos

Actividades cuyos dueños son las Unidades de Negocio – Ejemplos

1. Mantenga una estructura de gobernanza

Mantenga una Estrategia de Protección de Datos

Dueño: Recursos Humanos

Exija que los empleados reconozcan y se adhieran a las políticas de protección de datos

2. Mantenga un inventario de datos personales

Mantenga un inventario de bases de datos (qué datos personales son almacenados y en dónde)

Dueño: Administrador de Archivos Corporativos

Clasifique los datos personales tratados por tipo (ej. sensibles, privados, semi-privados, públicos)

3. Mantenga una política de protección de datos

Mantenga una política de protección de datos personales

Dueño: Recursos Humanos

Mantenga una política de protección de datos de empleados

4. Integre la protección de datos en las operaciones

Mantenga políticas/procedimientos para la recolección y uso de datos personales de niños y menores de edad

Dueño: Marketing

Integre la protección de datos en las prácticas de marketing directo

5. Mantenga un programa de capacitación y concientización

Lleve a cabo entrenamientos en protección de datos

Dueño: Servicio al cliente

Incorpore la protección de datos en otros programas operacionales de capacitación


Categorías de Gestión de Datos

Actividades cuyo dueño es el Área de protección de datos – Ejemplos

Actividades cuyos dueños son las Unidades de Negocio – Ejemplos

tales como recursos humanos, seguridad, call center

6. Gestione los riesgos de seguridad de la información

Mantenga una política sobre los usos aceptables de los recursos de información

Dueño: Seguridad de la Información

Implemente medidas de seguridad tecnológicas (ej. detección de intrusos, firewalls, monitoreo)

7. Gestione los riesgos con terceros

Mantenga requerimientos de protección de datos personales para terceros (ej. clientes, proveedores, encargados, afiliados)

Dueño: Legal

Mantenga procedimientos para celebrar contratos o convenios con todos los encargados

8. Mantenga avisos de privacidad

Mantenga un aviso de privacidad que detalle las prácticas de la organización en el manejo de datos personales

Dueño: Seguridad Corporativa y Mantenimiento

Ponga a disposición el aviso de privacidad en medios visibles como letreros y carteles

9. Responda a las peticiones y quejas de los individuos

Investigue las razones de fondo de las quejas de protección de datos

Dueño: Call Center

Mantenga procedimientos para dar respuesta a las peticiones, quejas y reclamos

10. Monitoree las nuevas prácticas operacionales

Mantenga guías y formatos para las Evaluaciones de Impacto de Privacidad (PIAs por sus siglas en inglés) y las Evaluaciones de Impacto de Protección de Datos (EIPDs)

Dueño: Tecnologías de la Información

Lleve a cabo PIAs/EIPDs para nuevos programas, sistemas y procesos

11. Mantenga un programa de gestión de incidentes y vulneraciones de datos

Mantenga un plan de respuesta a incidentes/brechas de datos personales

Dueño: Legal:

Involucre a un equipo de investigación forense

12. Monitoree las prácticas de manejo de datos

Monitoree y reporte las mediciones del programa de protección de datos

Dueño: Control Interno

Lleve a cabo auditorías internas del programa de protección de datos (ej. auditoría operativa del Área de Protección de Datos)

13. Haga seguimiento a criterios externos

Identifique de manera continua los requerimientos sobre cumplimiento legal (compliance) (ej. leyes, jurisprudencia, regulación, etc.)

Dueño: Cumplimiento

Identifique y gestione los conflictos entre legislaciones

Tabla 0.1 – Ejemplos de Actividades cuyos dueños son el Área de protección de datos y las Unidades de Negocio


3. Evidencia La Documentación que es un subproducto de las actividades de gestión de información se pone a disposición por parte del Dueño de la Actividad.

El tercer elemento de la gestión estructurada de protección de datos es la Evidencia. En las organizaciones responsables, el Dueño de una actividad de gestión de información provee la Evidencia de soporte que da cuenta de que la actividad está siendo mantenida.

Cuando las actividades de gestión de información se llevan a cabo de manera continua, la Evidencia es un subproducto de esto. La Evidencia es documentación que puede ser formal (ej. políticas, procedimientos, reportes) o información (ej. comunicaciones, agendas, logs de sistemas) y puede ser usada con Contexto por el oficial de protección de datos para demostrar que una actividad se está llevando a cabo. Por ejemplo, la actividad de gestión de información “Mantener guías y formatos para los PIA” produce varios tipos de Evidencia, incluyendo: políticas que requieren que se llevan cabo los PIAs, procedimientos y flujos de trabajo documentando los procedimientos de aprobación, guías y planillas de PIAs, documentos de entrenamiento sobre cómo adelantar PIAs, logs de PIAs, etc. Esta documentación sirve como Evidencia de la responsabilidad demostrada.

Refiérase a la Tabla X.X para las características de la documentación formal e informal y los ejemplos correspondientes:

Documentación Características Ejemplos

Formal Típicamente publicada, mantenida y comunicada a los grupos designados

Políticas, Procedimientos, Reportes

Informal Puede mostrar un ejemplo de que ha ocurrido una actividad, tal como una conversación por correo electrónico entre dos individuos clave o el registro de participación en un webinar

Comunicación por correo electrónico, agendas de reuniones, logs de sistemas

Tabla a 0.2 – Características de la documentación formal e informal

Tabla 0.3La Tabla 0.3 describe el rol que el área de protección de datos juega dependiendo de la fuente de la documentación, así como ejemplos de los distintos tipos de documentos:

Fuente Rol del Área de protección de datos

Ejemplos de documentos

Producidos

Generado por el área de protección de datos con insumos de otros interesados claves

El área de protección de datos lleva a cabo la actividad

Política de protección de Datos

Aviso de privacidad

Currículo de entrenamiento en protección de datos

Guías para llevar a cabo PIAs

Política/procedimientos para usos secundarios de datos personales

Influenciados

Influenciados por el área de protección de datos pero creados por otros interesados claves

El área de protección de datos colabora con su opinión o su concepto

Procedimientos de marketing directo

PIAs

Políticas de empleo

Tablas de retención documental

Recolectados

Entregados al área de protección de datos por otros interesados

El área de protección de datos se mantiene al tanto sobre los avances, una vez se

Resultados de las auditorías internas

Resultados de las evaluaciones de seguridad de TI


Fuente Rol del Área de protección de datos

Ejemplos de documentos

han terminado o llevado a cabo a satisfacción las actividades

Planes de continuidad del negocio

Tabla 0.3 – Rol del Área de protección de datos en la producción de documentación

La Error! Reference source not found. describe como la documentación formal o informal puede ser producida, influenciada o recolectada por el área de protección de datos como Evidencia de las Actividades de gestión de información

Actividades de gestión de información

Evidencia/ Documentación Fuente/Rol Formal/ Informal

Mantenga una política de protección de datos personales

Política de Protección de Datos

Producida por el Área de Protección de Datos

Formal

Integre la protección de datos en las políticas/procedimientos de acceso a las cuentas corporativas de correo electrónico de los empleados (ej. vacaciones, permisos, terminación)

Política y procedimiento de monitoreo de correos electrónicos

Influenciado por el Área de Protección de Datos

Producido por el Área de Tecnologías de la Información

Formal

Mida la participación en las actividades de entrenamiento en protección de datos (ej. número de participantes, resultados)

Informe generado por el sistema de resultados del examen de protección de datos

Recolectado por el Área de Protección de Datos

Producido por Recursos Humanos

Informal

Ponga a disposición el aviso de privacidad en las comunicaciones de marketing (ej. correos electrónicos, folletos, ofertas)

Ejemplos de comunicaciones de marketing vía correo electrónico

Influenciado por el área de protección de datos

Producido por Marketing

Informal

Frecuencia: Las Actividades de Gestión de Información son permanentes Las organizaciones responsables no ven la protección de datos como un proyecto, aunque en muchos casos la gestión de datos personales puede iniciar como un proyecto. Por el contrario, una organización realmente responsable asigna recursos a la gestión de protección de datos y continuamente revalúa las necesidades de dicha gestión para asegurar que las actividades de gestión de información se encuentran debidamente alineadas.

Un Programa de Protección de datos nunca debe ser considerado una actividad concluida; requiere de una evaluación y revisión permanente para que sea efectivo y relevante. Los diferentes elementos

https://www.nymity.com/data-privacy-resources/data-privacy-research/privacy-management-activities.aspx?utm_source=Book&utm_medium=pdf&utm_content=PMA&utm_campaign=PMA

https://www.nymity.com/data-privacy-resources/data-privacy-research/privacy-management-activities.aspx?utm_source=Book&utm_medium=pdf&utm_content=PMA&utm_campaign=PMA


deben ser monitoreados y evaluados constantemente y actualizados. – Entendiendo la responsabilidad demostrada22.

La gestión de datos personales es un conjunto de actividades de gestión de información permanentes que se llevan a cabo en forma periódica o continua.

Las actividades periódicas se llevan a cabo con una frecuencia establecida, p.ej., trimestral o anual. Estas actividades son tratadas como proyectos o tareas con un principio y un final definido.

Las actividades continuas son operaciones incorporadas en las operaciones diarias. Frecuentemente estas actividades se llevan a cabo en forma repetitiva, haciendo los ajustes continuos dirigidos a lograr el resultado deseado.

La Tabla 0.5 analiza los dos enfoques de frecuencia de las actividades de gestión de información para mostrar sus diferencias:

Actividad de Gestión de Información

Periódica Continua

Mantenga diagramas de flujo para los flujos de datos personales (ej. entre sistemas, entre procesos, entre países)

Anualmente, requiera que el área interesada revise los diagramas de flujo para detallarlos y actualizarlos como sea necesario

Como parte de los requisitos del proyecto de gestión, establezca que los cambios propuestos al flujo de datos y los diagramas de flujo sean actualizados como condición del visto bueno del proyecto.

Mida la participación en las actividades de entrenamiento en protección de datos (ej. número de participantes, resultados)

Cada trimestre revise los reportes generados por el sistema de capacitación en línea para determinar si los empleados han completado su capacitación

Configure los sistemas de educación en línea para generar alertas que indiquen cuando un empleado no ha completado su entrenamiento en el día asignado y envíe un mensaje al gerente recomendando su seguimiento inmediato

Involucre en los asuntos de protección de datos a las partes interesadas dentro de la organización (ej. seguridad de la información, marketing, etc.)

Establezca un comité de protección de datos con funciones cruzadas entre las áreas interesadas (p.ej. TI, Marketing, Legal, RRHH, etc.) quienes se reunirán cada trimestre para discutir temas de protección de datos

Cree un correo electrónico o grupo de discusión para las diferentes áreas interesadas en protección de datos, con el propósito de facilitar la comunicación en dichos temas.

Mantenga procedimientos para restringir el acceso a información personal (ej. acceso basado en roles o separado según funciones)

Revise mensualmente los reportes de los usuarios activos del sistema para garantizar que su acceso sigue siendo apropiado y se cierren las sesiones correctamente

Configure un sistema de Recursos Humanos para enviar alertas al Área de Seguridad de Información cuando los empleados son despedidos o cuando se modifica el título de su posición, departamento o estructura de reporte

La decisión de si una actividad se debe llevar a cabo en forma periódica o continua depende de diferentes factores. Las actividades periódicas pueden fomentar estructuras, mientas que las actividades continuas pueden generar una cobertura más completa y prevenir el riesgo.

22 Oficina del Comisionado de Información y Privacidad de Alberta. (2012). Entendiendo la Responsabilidad Demostrada con un Programa de

Protección de Datos. Alberta, Canadá.


La organización que ha incorporado la responsabilidad, el control y la evidencia en su programa de protección de datos ha implementado una aproximación de responsabilidad demostrada y está lista para demostrar dicha responsabilidad cuando sea necesario.

Manual Nymity para Demostrar el Cumplimiento Legal: …/media/NymityAura/Resources/LATAM Webs… ·...

Documents

Transcript of Manual Nymity para Demostrar el Cumplimiento Legal: …/media/NymityAura/Resources/LATAM Webs… ·...