Manual Nymity para Demostrar el Cumplimiento Legal: …/media/NymityAura/Resources/LATAM Webs… ·...
-
Upload
nguyentuong -
Category
Documents
-
view
236 -
download
3
Transcript of Manual Nymity para Demostrar el Cumplimiento Legal: …/media/NymityAura/Resources/LATAM Webs… ·...
© Nymity Inc. 2016. Este documento está basado en la investigación de Nymity. El contenido de este documento se pone a disposición únicamente para propósitos educativos y no está concebido como, ni constituye asesoría legal. Adicionalmente, la aplicación de las aproximaciones a la gestión de datos personales que se presentan en este documento no constituye garantía de cumplimiento.
Si usted requiere asesoría legal, debe consultar con un abogado, Nymity se reserva todos los derechos sobre
este documento, incluyendo el derecho de autor y cualquier otro derecho de propiedad intelectual. Usted
puede utilizar este documento para sus propios propósitos. Este documento puede ser libremente
redistribuido en su totalidad, siempre y cuando las marcas, logos y la indicación del derecho de autor de
Nymity no sean retirados. Este documento no puede ser vendido con fines de lucro ni usado en documentos
comerciales sin la autorización por escrito de Nymity.
Manual Nymity para Demostrar el Cumplimiento Legal:
una aproximación estructurada a la gestión de protección de datos
Manual para Demostrar el Cumplimiento Legal: 2 Copyright© 2016 Nymity Inc.
Introducción .............................................................................................................................................................3 Sección 1: Demostrar el Cumplimiento Legal……………………………………………………………………………………………………..4
Incentivos para Demostrar el Cumplimiento Legal ..............................................................................................4
Objetivos para demostrar el Cumplimiento Legal ................................................................................................5
Aproximación al Cumplimiento Legal basada en un estándar de Responsabilidad Demostrada ........................6
¿Cómo demostrar el cumplimiento legal usando una aproximación basada en la responsabilidad
demostrada? .........................................................................................................................................................8
Sección 2: Demuestre la Responsabilidad Demostrada y el cumplimiento legal .................................................. 13
Sección 3: Guía de configuración del Accountability Scorecard ........................................................................... 16 Estructura del Scorecard ................................................................................................................................... 16
Identifique y categorice las Actividades de Gestión de Información ................................................................ 16
Configure el Cuaderno de Evidencias ................................................................................................................ 18
Recoja la Evidencia de los Dueños ..................................................................................................................... 20
El Score de Protección de Datos se calcula de manera automática .................................................................. 20
Gestión permanente del Scorecard ................................................................................................................... 21
Apéndice A: Fundamentos de la Gestión Estructurada de Protección de Datos .................................................. 23
Tabla de contenidos
Manual para Demostrar el Cumplimiento Legal: 3 Copyright© 2016 Nymity Inc.
Demostrar el cumplimiento legal en materia de protección de datos personales implica mostrar cómo la
organización cumple con los requerimientos legales, la regulación aplicable, las políticas o cualquier otro
compromiso organizacional tal como un aviso de protección de datos o un código de conducta (Reglas). Este
manual ofrece una introducción a una aproximación a la demostración del cumplimiento legal desde la
perspectiva de la responsabilidad demostrada (accountability) y ofrece instrucciones detalladas sobre cómo
hacerlo. Demostrar el cumplimiento legal desde una aproximación basada en estándares de responsabilidad
demostrada va un paso más allá de la simple demostración de cómo se han alcanzado las metas de
cumplimiento legal; le permite a la organización demostrar cómo se alcanzaron dichos requerimientos y
demuestra la existencia de una gestión estructurada en protección de datos que permite el cumplimiento
legal continuado. En otras palabras, que el cumplimiento legal sea un resultado proactivo y estratégico y no
un simple ejercicio de completar una lista de chequeo.
Desde hace varios años, Nymity ha adelantado investigaciones concretas y observado la implementación y
desarrollo de programas de protección de datos personales en organizaciones alrededor del mundo, de
diversos tamaños, y en todas las diferentes industrias1. Gran parte de nuestras investigaciones se han
enfocado en medir y reportar sobre el estado del cumplimiento legal y la responsabilidad demostrada.
Hemos sostenido conversaciones con oficiales de protección de datos, formuladores de políticas públicas y
autoridades de protección de datos para identificar los factores críticos de éxito para demostrar
efectivamente la responsabilidad. Un resultado clave de estas investigaciones ha sido que entre muchas
aproximaciones, la más efectiva, estructurada y escalable es que el área de protección de datos utilice una
aproximación basada en responsabilidad demostrada para demostrar el cumplimiento legal.
Demostrar el cumplimiento legal en materia de protección de datos es más efectivo cuando resulta de un
diálogo y no de una afirmación binaria de “cumplimiento” o “no cumplimiento”. Esto es así puesto que, a
diferencia de otros tipos de cumplimiento legal, la protección de datos requiere una aproximación basada en
contexto; no existe una repuesta simple. La gestión efectiva en materia de protección de datos está
soportada en la interpretación de los requerimientos, la valoración del riesgo y otros factores subjetivos. Eso
no significa que no exista una respuesta correcta; sí existe una respuesta correcta pero para llegar a esta se
requiere un diálogo sobre el contexto. La investigación de Nymity ha llevado a la conclusión de que la mejor
forma de demostrar el cumplimiento legal es que el oficial de protección de datos articule los factores
subjetivos y objetivos que influencian las decisiones y los resultados. El oficial de protección de datos está en
la mejor posición para entender y poder articular el cumplimiento legal en el contexto de:
Las reglas de protección de datos;
El negocio y las prácticas de tratamiento de datos de la organización;
Cómo la gestión de datos está articulada en toda la organización, y
El potencial riesgo para los titulares y para la organización.
Este manual detalla la forma en que el área de protección de datos puede demostrar el cumplimiento legal
mediante la Contextualización de evidencia frente a las reglas aplicables. También provee una guía para
recoger evidencia de manera efectiva y reportar las mediciones cuantitativas utilizando una hoja de cálculo
1 Nymity es una compañía de investigación fundada en 2002 y parcialmente financiada por el gobierno de Canadá. La investigación de Nymity se centra en el cumplimiento legal en materia de protección de datos, la responsabilidad demostrada, el riesgo y las practicas éticas. Desde 2009 Nymity ha venido adelantando investigaciones en cómo demostrar el cumplimiento legal y la responsabilidad demostrada.
Introducción
Manual para Demostrar el Cumplimiento Legal: 4 Copyright© 2016 Nymity Inc.
de Microsoft Excel® denominada Scorecard Nymity de Protección de Datos y Responsabilidad
Demostrada™2.
Incentivos para Demostrar el Cumplimiento Legal Las leyes y los esquemas modernos de protección de datos requieren la demostración de cumplimiento
frente a las reglas de protección de datos3 y se espera que esta tendencia continúe en la medida que el
panorama regulatorio global mantenga su tendencia de alinearse entre sí. Hay una serie de motivaciones
para demostrar el cumplimiento legal incluyendo:
1. Reglamento General de Protección de Datos de la UE4
La demostración del cumplimiento legal aparece múltiples veces en el Reglamento europeo:
Artículo 5: Principios relativos al tratamiento de datos personales
El parágrafo 1 describe los principios de protección de datos a los que se debe adherir el
tratamiento de datos personales: lícito, justo y transparente, finalidad, minimización de datos,
veracidad, límites al almacenamiento, e integridad y confidencialidad. El parágrafo 2 establece
que "el responsable responderá por y estará en capacidad de demostrar el cumplimiento con el
parágrafo 1 (‘accountability’).”
Artículo 22: Responsabilidad del Responsable
“Tomando en cuenta la naturaleza, alcance, contexto y propósitos del tratamiento así como los
riesgos (…) para los derechos y libertades de los individuos, el responsable deberá adoptar
medidas técnicas y organizacionales adecuadas para asegurar y estar en capacidad de
demostrar que el tratamiento de datos personales se está llevando a cabo en cumplimiento de
este Reglamento (...)”.
El reglamento europeo (RGPD) entra a regir en 2018, momento en el cual las organizaciones que
operan en Europa (o fuera de Europa pero que llevan a cabo tratamientos de datos personales
de ciudadanos europeos) estarán obligadas a cumplir con el Reglamento.
2 En 2014 Nymity puso a disposición una hoja de cálculo gratuita de Microsoft Excel® denominada Scorecard Nymity de Protección de Datos y Responsabilidad Demostrada ™ que fue el resultado de la investigación de Nymity sobre demostración de estándares de responsabilidad demostrada. La segunda generación del Scorecard que se introduce en este manual se puede encontrar en www.nymity.com/pmaf. 3 Reglas: Requerimientos contenidos en una ley, regulación, política, orden, o en otro compromiso tal como un aviso de privacidad o un código de conducta. 4 Texto acordado del Reglamento General de Protección de Datos de la UE, publicado el 15 de diciembre de 2015.
Sección 1: Demostrar el Cumplimiento Legal
Compliance
Manual para Demostrar el Cumplimiento Legal: 5 Copyright© 2016 Nymity Inc.
2. Mecanismos de Transferencias Internacionales de Datos
En aquellos casos en que las transferencias de datos están restringidas por una ley o una
regulación, las organizaciones tienen una serie de opciones para transferir información personal
En la medida que las transferencias se vuelven más complejas, muchas compañías optan por
enlistarse en esquemas voluntarios como las Normas Corporativas Vinculantes (NCV), el Sistema
de Reglas de Flujo Transfronterizo de APEC (CBPR, por sus siglas en inglés), y el Escudo de la
Privacidad de UE – EE.UU (EU-US Privacy Shield). Estos programas requieren que la organización
se comprometa a tratar los datos personales de conformidad con los requerimientos de
transferencia del respectivo país o jurisdicción, inclusive cuando se transfieran a países con
requerimientos menos restrictivos o incluso inexistentes. Los requerimientos para demostrar el
cumplimiento legal varían entre los distintos programas pero en todos los casos la organización
debe estar en capacidad de demostrar que está honrando sus compromisos.
3. Alcanzar las expectativas de las autoridades de protección de datos
Como se explicó antes, algunas leyes de protección de datos están evolucionando en el sentido
de exigir la demostración del cumplimiento legal. En algunos casos, la ley no ha cambiado, pero
la autoridad de protección de datos ha expedido guías y ha manifestado su expectativa de que
las organizaciones estén en capacidad de demostrar el cumplimiento legal. Las autoridades de
protección de datos en Canadá, Hong Kong, Colombia y Australia han publicado guías5 en ese
sentido. Las organizaciones responsables asumen estas guías como un requerimiento legal, y
entienden que no cumplirlas puede traer consigo consecuencias negativas.
En la medida que los datos personales se incorporan más en todos los aspectos de las
operaciones de las compañías, éstas están recibiendo más atención de otras autoridades, como
las financieras y de telecomunicaciones, así como de los sindicatos y organizaciones de
trabajadores. Los oficiales de protección de datos tendrán que estar en capacidad de demostrar
cómo sus usos de datos personales no solo cumplen con las leyes de protección de datos sino
también con la legislación relacionada con esta.
Objetivos para demostrar el Cumplimiento Legal Este manual ofrece instrucciones paso a paso para demostrar el cumplimiento legal basado en una
aproximación de responsabilidad demostrada. El objetivo de usar una aproximación basada en
responsabilidad demostrada es que el área de protección de datos puede contestar la pregunta: cómo
5 Australia, Marco de Gestión de Protección de Privacidad: facilitando el cumplimiento y asegurando las
buenas practicas , www.oaic.gov.au/agencies-and-organisations/guides/privacy-management-framework
Canadá, Entendiendo la Responsabilidad Demostrada con un Programa de Protección de Datos
https://www.priv.gc.ca/information/guide/2012/gl_acc_201204_e.pdf
Colombia, Guía para la Implementación del Principio de Responsabilidad Demostrada
http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf
Hong Kong, Programa de Gestión de Privacidad, Una guía de mejores prácticas
https://www.pcpd.org.hk/pmp/files/PMP_guide_e.pdf
Manual para Demostrar el Cumplimiento Legal: 6 Copyright© 2016 Nymity Inc.
cumple la organización con los requerimientos de la ley de protección de datos, la regulación, política u
otros compromisos tales como el aviso de privacidad o el código de conducta? Nótese la sutil diferencia
entre ¿cómo cumple la organización? y ¿la organización cumple? con todos los requerimientos. La primera
es una pregunta más amplia, abierta, sobre la infraestructura del programa de protección de datos
(responsabilidad demostrada) mientras que la segunda es una pregunta de sí o no sobre el estado actual
(cumplimiento).
Dada la naturaleza dinámica de los negocios, la tecnología y la ley, no resulta práctico aproximarse a a la
gestión de protección de datos con el objetivo de reportar sobre el estado definitivo del cumplimiento en un
momento determinado en el tiempo. Incluso los métodos tradicionales como las auditorías o las
evaluaciones no buscan determinar el estado definitivo del cumplimiento en toda la organización. Las
auditorías y evaluaciones revisan una muestra representativa de eventos pasados, y un tercero saca
conclusiones acerca de la probabilidad de que haya habido cumplimiento dado los resultados entregados
por la muestra. Este tipo de monitoreo es un componente de la aproximación basada en responsabilidad
demostrada (Categoría de Gestión de Datos #12: Monitoree las Prácticas de Manejo de Datos) y cuando se
combina con las otras doce categorías, ofrece un panorama más completo de la gestión permanente en
materia de protección de datos.
Aproximación al Cumplimiento Legal basada en un estándar de Responsabilidad Demostrada Demostrar el cumplimiento legal con base en un estándar de responsabilidad demostrada va un paso más
allá de simplemente mostrar que los requerimientos de cumplimiento han sido alcanzados; le permite a la
organización demostrar cómo se alcanzaron dichos requerimientos y pone de presente la existencia e
implementación de una gestión estructurada de protección de datos que permite el cumplimiento continuo.
En otras palabras, que el cumplimiento legal es un resultado proactivo y estratégico y no un ejercicio de
llenar una lista de chequeo.
La organización ha adoptado un verdadero estándar de responsabilidad demostrada cuando tres
componentes se encuentran presentes6:
Responsabilidad: las actividades de gestión de información7 apropiadas se han implementado y se
mantienen de manera constante. Las actividades de gestión de información apropiadas se
determinan con base en los requerimientos de cumplimiento, perfil de riesgo, objetivos de negocio y
el contexto del tratamiento de datos (tipo de datos tratados, naturaleza del tratamiento, finalidades
de la recolección, uso, etc.).
Control: Las actividades de gestión de información están implementadas en toda la organización. En
la mayoría de los casos, el área de protección de datos trata muy pocos datos personales (si es que
lo hace). Como tal, para que la gestión de protección de datos sea efectiva, debe ser implementada
dentro de cada función o unidad de negocio que lleva a cabo tratamientos de datos personales.
Evidencia: cuando las actividades de protección de datos están siendo mantenidas, se produce
documentación. Esa documentación se puede usar como Evidencia de la responsabilidad
demostrada y del cumplimiento legal. La evidencia puede ser formal (ej. políticas, procedimientos) o
informal (ej. comunicaciones, flujos de trabajo). Cuando se usa una aproximación de responsabilidad
demostrada, la Evidencia siempre será un sub-producto de la actividad de gestión de información,
6 Para una mayor discusión sobre los components de la For further discussion on the components of accountability, please refer to
Appendix A: Fundamentals of Structured Privacy Management. 7 Nymity considers privacy management activities are ongoing procedures, policies, measures, mechanisms, and other initiatives that impact the processing of personal data or that relate to compliance with privacy and data protection laws.
Manual para Demostrar el Cumplimiento Legal: 7 Copyright© 2016 Nymity Inc.
esto es, la Evidencia no se produce por el simple hecho de producirla sino que es el resultado de una
actividad.
El siguiente ejemplo ilustra la diferencia entre una aproximación de responsabilidad demostrada y una
aproximación tradicional de cumplimiento legal:
Ejemplo: Incidente de seguridad/brecha de datos personales
En muchas jurisdicciones, se requiere que las organizaciones le reporten a la Autoridades de
Protección de Datos y le notifiquen a los titulares en la eventualidad de que se produzca un
incidente de seguridad o una brecha de información. Para cumplir con las leyes vigentes sobre
brechas, debe haber ocurrido un incidente de esta naturaleza (de otra manera no será posible
reportar o notificar). Técnicamente, una organización puede estar cumpliendo con la ley si se
esperan hasta tener conocimiento de un incidente, y luego reaccionan a este en consecuencia.
Sin embargo, la mayoría de las organizaciones entienden el riesgo y el impacto de un incidente y en
esa medida se esfuerzan por estar preparadas y de esa manera actuar conforme a un estándar de
responsabilidad demostrada. Implementan actividades de gestión de información tales como planes
de respuesta a incidentes/brechas de protección de datos, pruebas periódicas de los planes,
involucrar a un proveedor de respuesta a incidentes e implementar otras actividades. Las
organizaciones mantienen estas actividades incuso sin que haya ocurrido un incidente. También
entrenan a sus empleados en cómo identificar las brechas y mantienen mediciones de los incidentes
y de las razones de fondo para identificar patrones y tendencias que puedan indicar un problema
sistémico. La organización que tiene estándares de responsabilidad demostrada se encuentra mejor
preparada para lidiar de manera efectiva con la brecha o el incidente y para minimizar el impacto a
sus titulares y a la organización. Por ejemplo, una aproximación responsable gestión de incidentes
puede incluir:
Responsabilidad /Control: el Área de Protección de Datos establece los planes de respuesta a
incidentes, realiza pruebas sobre el plan, provee entrenamiento a los empleados, registra las
mediciones y ayuda a gestionar el proceso de reportes y notificaciones. Las unidades operativas
identifican y escalan los incidentes de acuerdo con el plan y ayudan con las respuestas y las
medidas de control.
Evidencia: plan de respuesta a incidentes, registros de las pruebas hechas al plan, registros de las
brechas, reportes de las brechas e incidentes, mediciones, evidencia de los reportes y
notificaciones.
Ejemplo: Retención de datos
La mayoría de los marcos de protección de datos contienen el requerimiento de que los datos
personales solo se retengan por el tiempo que resulte adecuado con base en el propósito para el
cual fueron recolectados. Una organización relativamente joven puede cumplir fácilmente con este
requerimiento. Por ejemplo, si la organización solo ha estado recolectando información personal por
dos años, pueden justificar estar reteniéndola por ese periodo de tiempo para la mayoría de los
propósitos.
Una organización con un estándar de responsabilidad demostrada, sin embargo, mantiene políticas,
procedimientos y mecanismos para gestionar proactivamente sus tablas de retención de registros.
Esto les ayuda a cumplir de manera permanente así como a racionalizar sus decisiones de cuando
retener o destruir la información. Los convierte en organizaciones con un estándar de
Manual para Demostrar el Cumplimiento Legal: 8 Copyright© 2016 Nymity Inc.
responsabilidad demostrada. Por ejemplo, una organización con un estándar de responsabilidad
demostrada puede incluir:
Responsabilidad/control: El Área de Protección de Datos analiza los requerimientos de las
leyes y regulaciones de protección de datos, entiende las finalidades para las cuales se
recogió la información personal así como los requerimientos relacionados tales como los de
naturaleza laboral, financiera, tributaria u otros y provee insumos a las tablas de retención
documental que muy seguramente son gestionadas por los dueños de los sistemas o los
procesos, Las unidades operativas ejecutan las tablas mediante la configuración de los
sistemas de forma tal que la información se archive o se borre con base en su clasificación, o
manejan de forma manual los registros destruyendo la información de forma segura con
base en las tablas de retención.
Evidencia: políticas de protección de datos, procedimientos de clasificación de información,
tablas de retención, evidencias de configuración de los sistemas y calendarios de archivo.
Los ejemplos de incidentes de seguridad y de retención de datos expuestos sirven para ilustrar las
diferencias entre una aproximación basada en estándares de responsabilidad demostrada y una más
tradicional basada en cumplimiento legal. Los ejemplos sirven para mostrar cómo una aproximación basada
en implementar una gestión estructurada de protección de datos es una aproximación estratégica y es la
mejor manera de asegurar un cumplimiento legal continuado.
¿Cómo demostrar el cumplimiento legal usando una aproximación basada en la
responsabilidad demostrada?
Paso 1: Pruebe la Responsabilidad Demostrada mediante la recolección de evidencia generada por el
despliegue de Actividades de Gestión de Información
La Responsabilidad (mantener las actividades de gestión de información apropiadas) y el Control (distribuir
las actividades de gestión de información a lo largo de toda la organización) son componentes de la gestión
estructurada de protección de datos. Cuando estos dos componentes se implementan, la Evidencia se
genera como un subproducto de mantener las actividades de gestión de información y el área de protección
de datos tiene todos los elementos que requiere para probar la responsabilidad demostrada y después ir un
paso más allá para demostrar el cumplimiento legal.
El área de protección de datos prueba la responsabilidad demostrada mediante la recolección de Evidencia
de las actividades de gestión de información desplegadas y activas en la organización y demuestra el
cumplimiento legal mediante la Contextualización de la Evidencia a una serie de Reglas (requerimientos
legales, regulaciones, políticas u otros compromisos tales como un aviso de privacidad de un código de
conducta).
El área de protección de datos puede usar el Cuaderno de Evidencias8 para acelerar el proceso de
recolección de evidencias de los Dueños de las actividades de gestión de información a través de toda la
organización.
8 Es la hoja de cálculo principal en la herramienta gratuita de MS Excel denominada Scorecard Nymity de Protección de Datos y Responsabilidad Demostrada, disponible en www.nymity.com/pmaf.
Manual para Demostrar el Cumplimiento Legal: 9 Copyright© 2016 Nymity Inc.
Por favor vaya a la Sección 3: Guía de configuración del Scorecard para obtener más detalles sobre cómo
usar el Cuaderno de Evidencias y el Scorecard Nymity de Protección de Datos y Responsabilidad
Demostrada™ que se genera automáticamente cuando el Cuaderno de Evidencias ha sido terminado y que
además puede usarse para reportar sobre el estado del programa de protección de datos.
Paso 2: Demuestre el cumplimiento legal mediante la Contextualización de la evidencia
Usando el Cuaderno de Evidencias, el Área de Protección de Datos ha creado un índice de la documentación
necesaria para demostrar el cumplimiento. El siguiente paso es contextualizar esa evidencia a los
requerimientos específicos.
La protección de datos no es una tarea sencilla, es contextual por naturaleza y muchas veces está sujeta a
interpretación y juicios de valor. No existe ninguna lista de chequeo estándar que una organización pueda
usar para estar en capacidad de afirmar “estamos cumpliendo”; depende de una cantidad de factores, p. ej.
el contexto. Para poder articular la manera como las actividades de tratamiento de datos de la organización
se están llevando a cabo de conformidad con las Reglas (para demostrar el cumplimiento legal), uno debe
entender las actividades en sí mismas, las motivaciones subyacentes, la forma en que las reglas son o no
aplicables y otra cantidad de factores. La investigación de Nymity ha demostrado que los oficiales de
protección de datos están en una posición privilegiada para demostrar el cumplimiento legal. Esto es así
principalmente porque los oficiales de protección de datos tienen la experiencia para interpretar los
requerimientos y los conocimientos para entender cómo se aplican a cada tipo de tratamiento; en otras
palabras, entienden y pueden explicar el contexto de dicho cumplimiento legal.
El contexto en protección de datos incluye:
1. Reglas9
Las organizaciones en muchas jurisdicciones están requeridas a cumplir con leyes y regulaciones
de protección de datos personales. Adicionalmente, muchas veces deben cumplir con políticas o
con otros compromisos tales como avisos de privacidad o códigos de conducta. Estas fuentes de
cumplimiento son referidas aquí como fuentes de Reglas y los requerimientos en sí mismos
como Reglas. El oficial de protección de datos entiende las Reglas y en esa medida está en
capacidad de contextualizar la manera como se aplican a cada tipo de tratamiento.
2. Prácticas en el Tratamiento de Datos
El oficial de protección de datos entiende las prácticas de la organización que involucran
tratamiento de datos personales, incluyendo las operaciones del negocio y las funciones del
back office tales como recursos humanos, mercadeo y finanzas. En la medida en que trabaja con
las partes interesadas a lo largo de la organización, el oficial de protección de datos está en
capacidad de entender y proveer contexto para la forma en que las Reglas se aplican a las
prácticas de la organización.
3. Gestión de protección de datos
El oficial de protección de datos entiende las actividades de gestión de información que se han
implementado a lo largo de la organización y entiende también cómo estas se mantienen.
Muchas decisiones relacionadas con gestión de protección de datos están influenciadas por las
9 Reglas: Requerimientos de una ley, regulación política u otro compromiso tal como un aviso de privacidad o un código de conducta.
Manual para Demostrar el Cumplimiento Legal: 10 Copyright© 2016 Nymity Inc.
Reglas y por cómo se aplican al tratamiento de datos personales; en esa medida, explicar esas
decisiones es un elemento clave de cómo proveer contexto.
4. Riesgo de protección de datos
El oficial de protección de datos entiende el riesgo de daño a los titulares y a la organización10.
Además, puede explicar cómo el riesgo de protección de datos influenció la decisión sobre qué
actividades de gestión de información implementar y por qué. Con relación al riesgo de
protección de datos, otro elemento del contexto es la decisión de priorizar una actividades de
mitigación de riesgo sobre otra cuando los recursos son limitados.
Para algunas actividades de gestión de información, es obvio como la Evidencia puede usarse para
demostrar el cumplimiento legal. Por ejemplo, si una Regla requiere que un aviso de privacidad contenga
ciertos elementos11, es fácil acceder al aviso de privacidad y determinar si dichos elementos se encuentran
presentes. El oficial de protección de datos no tendría la necesidad de contextualizar la Evidencia. En otros
casos, esto no es tan obvio. Por ejemplo, las Reglas muchas veces requieren que la información personal no
sea tratada para finalidades distintas a aquellas para las cuales fue recogida. En este caso, la Evidencia puede
incluir políticas y guías donde se instruya a los empleados sobre este requisito. Estos documentos serán
fácilmente vinculables a la Regla, y serán un buen comienzo, pero no serán suficientes. Estos demuestran
que las guías se expidieron pero no que haya sido seguida. Para demostrar que la protección de datos está
efectivamente integrada a la organización, el área de protección de datos podría mostrar que se requieren
Evaluaciones de Impacto de Privacidad (PIAs) para cualquier recolección o uso nuevo de datos personales12 y
que parte de dicho PIA incluye identificar la finalidades originales de recolección para determinar si ese uso
todavía es consistente. Esta Evidencia probablemente requiere ser contextualizada .
El siguiente ejemplo ofrece una explicación más profunda sobre cómo puede contextualizarse la Evidencia
para responder a la pregunta ¿Cómo cumple la organización con la Reglas?
El oficial de protección de datos puede querer demostrar cómo el equipo de telemercadeo dentro de un call
center cumple con el requerimiento de obtener el consentimiento para recolectar y usar los datos con la
finalidad de vender un producto. El oficial de protección de datos puede usar la documentación existente de
derivada de la gestión de protección de datos (i.e Evidencia) y proveer contexto para demostrar el
cumplimiento legal de la siguiente manera:
Actividad de Gestión de Información: Mantenga una política de protección de datos personales13 Evidencia: Política de protección de datos personales La política de protección de datos contiene una provisión que indica que la organización debe obtener el consentimiento para todos los tipos de tratamiento de datos. Contexto: Reglas, Tratamiento de datos, Gestión de Protección de Datos
10 Lleve a cabo una evaluación corporativa de riesgo en materia de protección de datos en 1. Mantenga una estructura de gobernanza en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 11 Mantenga un aviso de privacidad que detalle las prácticas de la organización en el manejo de datos personales en 8.Mantenga avisos de privacidad en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 12 Mantenga guías y formatos para las Evaluaciones de Impacto de Privacidad en 10. Monitoree las nuevas prácticas operacionales en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 13 Mantenga una política de protección de datos personales en 3. Mantenga una política de Protección de Datos en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.
Manual para Demostrar el Cumplimiento Legal: 11 Copyright© 2016 Nymity Inc.
Habiendo identificado el call center como el punto de recolección de datos personales, así como el uso [Tratamiento de Datos], el área de protección de datos determina que se requiere el consentimiento. La política de protección de datos es una actividad de gestión de información que fija las expectativas para la obtención del consentimiento [Reglas, Gestión de Protección de Datos].
Evidencia: Materiales de entrenamiento en protección de datos El currículo general de entrenamiento en protección de datos para todos los empleados con acceso a información personal14 contiene guías específicas para la obtención del consentimiento, y el entrenamiento específico para los empleados del call center15 contiene lineamientos más específicos sobre cómo y cuándo obtener y registrar el consentimiento cuando se están recolectando datos personales. Contexto: Gestión de Protección de Datos El área de protección de datos puede mostrar que mediante el uso de los entrenamientos generales y específicos, se refuerza la necesidad de obtener el consentimiento y estos además se comunica de manera proactiva [Gestión de Protección de Datos].
Evidencia: Guiones de los Call Centers El call center usa guiones para llevar a cabo actividades de telemarketing que guían a los empleados sobre cómo obtener el consentimiento explícito para llevar a cabo el tratamiento16. Contexto: Regalas, Gestión de Protección de Datos El área de protección de datos puede demostrar que a los empleados se les suministran las herramientas para cumplir con la política [Reglas] toda vez que los guiones contienen un aparte sobre cómo explicar el aviso de privacidad y cómo obtener el consentimiento explícito (Gestión de Protección de Datos).
Evidencia: Capturas de pantalla del CRM El sistema de Gestión de Relaciones con los Clientes (CRM por sus siglas en inglés) contiene un campo donde se registra el consentimiento y las solicitudes de opt-out. Los mecanismos de validación evitan que el usuario hago uso de un registro para una finalidad frente a la cual no se cuenta con la autorización del titular. Contexto: Tratamiento de Datos Toda vez que el oficial de protección de datos entiende cómo se recolecta la información y cómo fluye dentro de la organización (Tratamiento de Datos), el o ella pueden usar el CRM para demostrar que el consentimiento se está obteniendo ya la actividad se está manteniendo.
Evidencia: Consulta al área de protección de datos El director del call center ha contactado al área de protección de datos vía correo electrónico para indagar acerca de cómo aplicar la política de la organización de obtener el consentimiento explícito en aquellas jurisdicciones donde el consentimiento implícito está permitido por la ley. Estos correos electrónicos y las discusiones de seguimiento muestran cómo el área de protección de datos le prestó asistencia al call center para discutir los requisitos sobre consentimiento.
14 Lleve a cabo entrenamientos en protección de datos en 5. Mantenga un programa de capacitación y concientización en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 15 Lleve a cabo entrenamientos en protección de datos con contenidos específicos para los distintos puestos de trabajo en 5. Mantenga un programa de capacitación y concientización en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™. 16 Integre la protección de datos en las prácticas de telemercadeo en 4. Integre la protección de datos en las operaciones en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.
Manual para Demostrar el Cumplimiento Legal: 12 Copyright© 2016 Nymity Inc.
Contexto: Reglas, Riesgo de Protección de Datos El área de protección de datos puede explicar que aun cuando la ley no requiere que haya un consentimiento explícito en todos los casos (Reglas), han tomado la decisión no obstante de requerirlo siempre. Mediante la simplificación del proceso y optando por el requisito más exigente, será poco probable que la organización incurra en un no cumplimiento (Riesgo de Protección de Datos).
Evidencia: Resultados de las auditorías Una auditoría de las operaciones del call center incluía oír una selección de llamadas grabadas para determinar si el el proceso para obtener el consentimiento se estaba siguiendo17. No se reportó ninguna excepción. Contexto: Gestión de Protección de Datos, Riesgo de Protección de Datos Aun cuando la auditoría interna no fue adelantada por el área de protección de datos, se convierte en documentación que puede ser usada como Evidencia de la responsabilidad demostrada y del cumplimiento legal. El reporte muestra que las llamadas seleccionadas siguieron los requerimientos de la política de protección de datos (Reglas). Por cuanto la política excede el requisito legal (Reglas), el área de protección de datos puede explicar porqué llegaron a la conclusión de que existe un bajo riesgo de no cumplimiento con los requerimientos legales que se refieren al consentimiento (Reglas).
El área de protección de datos estuvo en capacidad de contestar la pregunta: ¿cómo cumple la organización
con las Reglas sobre consentimiento? Nótese que en el ejemplo anterior, el área de protección de datos
estuvo en capacidad de demostrar el cumplimiento legal usando la documentación existente sobre gestión
de protección de datos; no se produjo documentación extra para alcanzar ese propósito Nótese también que
la documentación en sí misma no suficiente para demostrar el cumplimiento legal a alguien que no entienda
las reglas que le aplican a la organización, la forma en que se tratan los datos personales, la manera en que
la protección de datos se encuentra articulada en la organización o el perfil de riesgo. La documentación
requirió que se recurriera al contexto dado por el oficial de protección de datos.
17 Lleve a cabo auditorías internas del programa de protección de datos En 12. Monitoree las prácticas de manejo de datos en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.
Manual para Demostrar el Cumplimiento Legal: 13 Copyright© 2016 Nymity Inc.
La Sección 1 describió el proceso para contextualizar la Evidencia frente a las Reglas18 para poder demostrar
el cumplimiento legal. En esta sección se presentan unas guías detalladas de cómo el área de protección de
datos puede probar la responsabilidad demostrada como un primer paso en el camino de demostrar el
cumplimiento legal. Probar la responsabilidad demostrada es mostrar cómo se ejerce la responsabilidad y
hacer esto verificable19.
Organizaciones alrededor del mundo y en todos los sectores de la economía usan el Scorecard Nymity de
Protección de Datos y Responsabilidad Demostrada™, una herramienta basada en Microsoft Excel®, para
recopilar la Evidencia de las actividades de gestión de información de los Dueños, creando un índice de
documentación (Cuaderno de Evidencias) y automáticamente generando mediciones sobre el estado de la
gestión en protección de datos (Scorecard).
La herramienta genera reportes que le permitirán al área de protección de datos contestar las siguientes
preguntas:
“¿Nuestro programa de protección de datos ha sido diseñado para cumplir con una o más Reglas?”
“La gestión de protección de datos está implementada y mantenida de manera efectiva en un país
específico o en una unidad de negocio específica?”
“¿Dónde se encuentran los vacíos entre el estado actual y el estado deseado (en términos de
cumplimiento)?”
“¿Cómo hace la organización para ir más allá de de los mínimos requeridos para el cumplimiento
legal, para hacer tratamientos responsables de datos personales?”
Aun cuando algunos casos requieren que se dé un diálogo con el área de protección de datos donde la
Evidencia se contextualice frente a las Reglas, no todos los públicos quieren ese nivel de detalle. Por
ejemplo, la Alta Dirección y la Junta Directiva quieren saber el estado de la gestión de datos, pero, siendo
que no son expertos en la materia, requieren una respuesta sencilla que esté soportada por Evidencias y
análisis. Desde 2009, Nymity ha adelantado investigaciones en aproximaciones prácticas a cómo probar la
responsabilidad demostrada. Estas investigaciones han resultado en lo siguiente:
Cuaderno de Evidencias
Una hoja de cálculo que provee una aproximación estructurada para registrar las actividades de
gestión de información, recoger Evidencia de los Dueños e indexar la localización de la
documentación. En el ejemplo anterior sobre el call center, la Evidencia que el área de protección
de datos usó para contextualizar la gestión de datos fue recopilada usando el Cuaderno de
Evidencias.
Scorecard Nymity
Una representación visual del estado del cumplimiento legal, automáticamente generado después
de completar el Cuaderno de Evidencias.
18 Reglas: Requerimientos de una ley, regulación, política, u otro compromiso como un Código de Conducta o un aviso de privacidad. 19 Grupo de Trabajo del Artículo 29 Opinión 3/2010 sobre el principio de responsabilidad demostrada (accountability) http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_en.pdf
Sección 2: Demuestre la Responsabilidad Demostrada y
el cumplimiento legal
Manual para Demostrar el Cumplimiento Legal: 14 Copyright© 2016 Nymity Inc.
Cuaderno de Evidencias El Cuaderno de Evidencias permite una aproximación
eficiente para que el área de protección de datos indexe la
documentación que se produce como consecuencia de la
implementación de las actividades de gestión de
información y que están distribuidas a lo largo de toda la
organización. Mantener registros de esta documentación
en un solo lugar le permite al área de protección de datos
probar la responsabilidad demostrada a solicitud. Si el
Cuaderno de Evidencias se mantiene actualizado, el oficial
de protección de datos se encontrará en capacidad de
demostrar el cumplimiento legal. El o ella tendrán a la mano el estado del programa y podrán responder
rápidamente a las preguntas sobre cómo la organización cumple con las Reglas.
Visualización automática – Accountability Scorecard Completar el Cuaderno de Evidencias automáticamente genera una tabla que permite una demostración
sencilla y de alto nivel sobre el estado de la responsabilidad demostrada de la organización. En la medida
que el oficial de protección de datos actualiza el Cuaderno de Evidencias, el Scorecard se va generando de
manera automática y mostrando los siguientes ítems:
1. Línea de Estado de Gestión del Programa (línea
azul)
El estado del programa de protección de datos en
cualquier momento en el tiempo. El Scorecard
muestra la historia del programa en el tiempo, y le
permite al área de protección de datos contar la
historia de la evolución del mismo.
2. Línea de cumplimiento (Línea verde)
El nivel mínimo para alcanzar el cumplimiento legal;
en otras palabras el punto donde todas actividades de gestión de información obligatorias para alcanzar
el cumplimiento legal se han evidenciado con documentación actualizada.
3. % Gerenciado
Localizado debajo de la Línea de Cumplimiento (Línea
verde) está el porcentaje de actividades de gestión de
información obligatorias 20 que cuentan con Evidencia.
Si el estado es 100% gerenciado el oficial de protección
de datos puede demostrar el cumplimiento.
4. % Avanzado
Localizado arriba de la Línea de cumplimiento (línea verde) están las actividades de gestión de
20 Mandatory privacy management activities are defined by the privacy office and are typically the required privacy management activities to achieve ongoing compliance to one or more Rule sources, for example, a privacy law.
Cuaderno de Evidencias
Manual para Demostrar el Cumplimiento Legal: 15 Copyright© 2016 Nymity Inc.
información que van más allá del cumplimiento legal y en consecuencia, son Avanzadas. Como se explicó
antes, estas se denominan actividades de gestión de información adicionales 21 que se implementan no
porque sean Obligatorias sino porque son parte del objetivo del área de protección de datos de ir un
paso más allá.
Beneficios de usar el Cuaderno de Evidencias y el resultante Scorecard El área de protección de datos puede probar la responsabilidad demostrada simplemente poniendo a
disposición las Evidencias de las actividades de gestión de información. Sin embargo, mediante el uso del
Cuaderno de Evidencias y el resultante Scorecard, se logran los siguientes beneficios adicionales:
1. Comunicación efectiva
El Scorecard le permite al oficial de protección de datos contar la historia de la gestión de información
incluyendo el pasado y el presente, con base en Evidencia. La naturaleza sencilla del Scorecard le
permite al oficial de protección de datos comunicar de manera efectiva el estado mediante contexto,
inclusive frente a audiencias que no tengan un conocimiento profundo de protección de datos. Podrán
explicar que la meta es alcanzar la línea de cumplimiento – si el estado está por debajo de dicha línea
(% Gerenciado), es porque hay vacíos, y si está por encima de la línea (% Avanzado) entonces la
gestión de información está por encima del mínimo requerido para el cumplimiento.
2. Basado en la documentación existente
El Cuaderno de Evidencias le permite al área de protección de datos mantener un registro de la
documentación producida por las actividades de gestión de información. Tener un índice centralizado
facilita el proceso para contextualizar la Evidencia cuando se está demostrando el cumplimiento legal
y el área de protección de datos podrá acceder más rápidamente a la documentación si la requiere
para contestar preguntas o requerimientos. Como se explica en el Anexo A: Fundamentos de la
Gestión Estructurada de Protección de Datos, el área de protección de datos no crea documentación
sólo para demostrar el cumplimiento legal, esta se produce como un subproducto de implementar las
actividades de gestión de información.
3. Flexible y escalable
El Cuaderno de Evidencias y el Scorecard funcionan para organizaciones de cualquier tamaño, en
cualquier jurisdicción y para todos los tipos de tratamientos de datos. Algunas organizaciones usan
múltiples Cuaderno de Evidencias, y crean Scorecards para partes diferentes de la organización, por
ejemplo por país o por unidad de negocio.
21 Las actividades de gestión de información avanzadas son definidas por el área de protección de datos y son aquellas actividades que van más allá del texto literal de la ley; en otras palabras, no son obligatorias.
Manual para Demostrar el Cumplimiento Legal: 16 Copyright© 2016 Nymity Inc.
Esta sección detalla las instrucciones para configurar y usar el Cuaderno de Evidencias que automáticamente
genera el Scorecard.
Estructura del Scorecard
Un programa efectivo de protección de datos requiere que las actividades de gestión de información estén
distribuidas a través de la organización – no solo a nivel del área de protección de datos. Por esta razón, la
mayoría de las organizaciones escogen eventualmente implementar múltiples Scorecards para poder agilizar
el proceso de recolectar la Evidencia y generar mediciones más específicas para ayudar a identificar las
fortalezas y las debilidades.
Hay algunas posibilidades para estructurar una aproximación de múltiples Scorecards. Con base en la
experiencia de Nymity con un número de implementaciones exitosas del Scorecard la mejor aproximación es
muchas veces un híbrido de las siguientes aproximaciones de despliegue:
Funcional/Basada en el uso (p.ej. Mercadeo, Recurso Humanos, Unidades de Negocio): desplegar un
Scorecard para cada unidad operativa es recomendado para aquellas organizaciones donde el tipo
de tratamiento de datos varía a lo largo de la organización. Por ejemplo, en el sector financiero, los
mismos datos personales (datos de clientes) pueden ser usados para prestar servicios o para fines de
marketing. Configurar un Scorecard tanto para el área del negocio core como para el área de
marketing es una buena manera de ver la película completa.
Geográfica: en organizaciones donde el tratamiento de datos personales es relativamente
consistente a lo largo de las diferentes funciones, puede ser apropiado crear diferentes Scorecards
para cada jurisdicción o región. Esto muchas veces sucede cuando el uso principal de los datos
personales es para el departamento de recursos humanos. Desplegar un Scorecard para cada región
hace que resulte más fácil configurarla basándose en los requerimientos locales y comparar el
estado de una región con el de otra.
La mayoría de las organizaciones despliegan el Scorecard para medir, monitorear y reportar sobre las
actividades del área de protección de datos, a manera de prueba antes de adicionar múltiples Scorecards y
de desplegarlas en toda la organización.
Cuando se usan múltiples Scorecards, lleve a cabo los siguientes pasos para cada una de ellas. Un Scorecard
puede tener su propio conjunto de actividades de gestión de información, preguntas de recolección de
Evidencia, respuestas y Evidencia.
Identifique y categorice las Actividades de Gestión de Información
El primer paso para poder medir la gestión en protección de datos es identificar las actividades de gestión de
información relevantes. Esto puede hacerse de varias maneras, bien sea enfocándose en una o más fuentes
Estructura del
Scorecard
Identifique y categorice las Actividades de
Gestión de Información
Configure el Cuaderno
de Evidencias
RecojaEvidencia
de los Dueños
Gestión contínua del
Scorecard
Sección 3: Guía de configuración del Accountability Scorecard
Manual para Demostrar el Cumplimiento Legal: 17 Copyright© 2016 Nymity Inc.
de reglas para el cumplimiento legal o construyendo sobre la base del ejercicio de estudio preliminar que se
detalla en el documento “Una aproximación estructurada a la gestión de datos personales: Manual
Introductorio” que se puede encontrar en https://latam.nymity.com/recursos.
Identifique las Actividades de gestión de información basándose en una aproximación de
cumplimiento legal Demostrar el cumplimiento legal en materia de protección de datos es mostrar que la organización cumple
con los requerimientos de una Regla: una ley, reglamento, política u otro compromiso tal como un aviso de
privacidad o un código de conducta. Una manera sencilla de empezar es identificar las actividades de gestión
de información que se son requeridas por las Reglas. Para hacer esto:
1. Lea la fuente de la Regla, por ejemplo una ley de protección de datos, e identifique las Reglas que requieren Evidencia para demostrar el cumplimiento legal. Dentro de una fuente, puede haber muchas Reglas que no requieren Evidencia. Por ejemplo, las definiciones, excepciones, facultades y funciones de la autoridad, sanciones , etc. En la ley de protección de datos del Reino Unido, hay 219 Reglas (provisiones). Solamente 31 Reglas requieren Evidencia.
2. Para cada Regla que requiere evidencia, identifique las actividades de gestión de información que producen la Evidencia. En otras palabras, las actividades de gestión de información que le ayudarán a mantener un cumplimiento legal continuado de esa Regla.
El estudio Una aproximación estructurada a la gestión de datos personales: Manual Introductorio provee una estrategia de cumplimiento que está basada en los mismos pasos: identificar las Reglas que requieren Evidencia e implementar las actividades de gestión de información que producirían la Evidencia requerida. El Apéndice C de dicho documento, contiene ejemplos de actividades de gestión de información comúnmente implementadas para satisfacer los requerimientos de varias fuentes de Reglas como por ejemplo el Reglamento General de Protección de Datos de la UE, Normas Corporativas Vinculantes, APEC y otros.
Identifique las Actividades de gestión de información con base en el Estudio Preliminar La aproximación basada en Cumplimiento legal que se describió identifica las actividades de gestión de
información con base en las Reglas. Otra aproximación es identificar las actividades de gestión de
información con base en lo que ya se ha implementado en la organización, también conocido como Estudio
Preliminar.
Llevar a cabo un estudio preliminar relativo a la gestión de
protección de datos es una segunda aproximación para identificar
las actividades de actividades de gestión de información para
demostrar el cumplimiento legal. Es estudio preliminar permite
identificar el estado actual de las actividades de gestión de
información cosa que puede hacerse usando el Cuaderno de
Trabajo Nymity de Gestión de Datos Personales (“Cuaderno de
Trabajo”) puesto a disposición por Nymity. El Cuaderno de Trabajo
contiene las actividades de gestión de información contenidas en el
Marco Nymity de Gobernanza en Privacidad y Protección de Datos
™.
Para hacer el estudio preliminar de la gestión existente en materia de protección de datos, identifique cuáles actividades de gestión de información están/son Implementadas, en Progreso, Deseadas y No Aplicables.
NOTA DE IMPLEMENTACIÓN
No Aplicable En virtud de que el Marco es de carácter global, encontrará algunas actividades no relevantes que deberán clasificarse como No Aplicable. Es posible que hasta el 50% de las Actividades de Gestión de Información resulten N/A y para pequeñas y medianas empresas podría llegar hasta el 80%. Un ejemplo de actividades clasificadas como No Aplicable son aquellas relacionadas con el marketing en organizaciones que no adelantan ninguna gestión de mercadeo.
Not Applicable
As the Framework is a
comprehensive, industry and
jurisdiction neutral listing,
many activities will not be
Manual para Demostrar el Cumplimiento Legal: 18 Copyright© 2016 Nymity Inc.
Implementadas: Las Actividades de gestión de información que ya se han puesto en marcha y tienen recursos suficientes par ser mantenidas se categorizan como “Implementadas”.
En Progreso: Si la Actividad de Gestión de Información está en progreso de ser implementada o ha sido programada para ser implementada, se categoriza como “En progreso”.
Deseadas: Actividades de gestión de información que se ha determinado que sí son aplicables a la organización o relevantes para la gestión en protección de datos pero que actualmente no se han “implementado” ni se han asignado recursos para ser implementadas”.
No Aplicable (N/A): Actividades de gestión de información que no son aplicables a la organización (o a la parte de la organización que está siendo evaluada) se categorizan como “N/A”.
Muchas de las actividades de gestión de información serán aplicables a múltiples Scorecards e inclusive podrán tener un estado diferente en cada uno.
Categorice las Actividades de gestión de información La sección anterior describió dos aproximaciones para identificar las actividades de gestión de información.
Si usted selecciona la aproximación de estudio preliminar, las actividades y el estado actual se registrará en
el Cuaderno de Trabajo. Si usted selecciona la aproximación de cumplimiento legal, es posible que quiera
registrarlas en una hoja de cálculo separada.
Todas las actividades de gestión de información deben categorizarse como Obligatorias o Adicionales:
Obligatorias
Actividades de gestión de información que deben ser implementadas para que la organización pueda
cumplir con las Reglas. Típicamente, el oficial de protección de datos escoge una o más reglas Reglas
para empezar e identifica las actividades de gestión de información obligatorias que son necesarias
para lograr un cumplimiento legal continuado.
Adicionales
La mayoría de las organizaciones van más allá de los mínimos requeridos para el cumplimiento legal,
e implementan actividades de gestión de información que no son Obligatorias pero que contribuyen
con el tratamiento responsable de los datos personales. Estas activiades de gestión de información
se categorizan como Adicionales. Algunos ejemplos incluyen:
o Publique materiales para crear conciencia sobre protección de datos (ej. carteleras y videos)
o Monitoree y reporte las mediciones de las quejas de protección de datos (ej. número,
razones de fondo)
o Obtenga un seguro con cobertura de incidentes/brechas de datos personales
Configure el Cuaderno de Evidencias Una vez se ha determinado la estructura del Scorecard y se han identificado las actividades de gestión de
información, el Cuaderno de Evidencias está listo para ser programado.
Cree las preguntas de recolección de Evidencia Para cada actividad de gestión de información el oficial de protección de datos crea una o más preguntas de
recolección de Evidencia. Estas son preguntas cerradas que logran obtener la Evidencia de los Dueños de la
mejor manera posible. Las preguntas cerradas deben ser respondidas con ‘sí’ o ‘no’ para permitir un análisis
Manual para Demostrar el Cumplimiento Legal: 19 Copyright© 2016 Nymity Inc.
cuantitativo. La pregunta debe tener una respuesta de sí o no toda vez que esto es necesario para la
generación automática del Accountability Scorecard.
NOTA DE IMPLEMENTACIÓN
Las mejores preguntas de recolección de evidencia son sencillas, directas y están escritas en el lenguaje del Dueño que debe responderlas.
Un beneficio del Scorecard es que le permite al área de protección de datos involucrarse con las partes interesadas a lo largo de la organización, así estos no sean expertos en protección de datos. Por ejemplo, si el objetivo es obtener Evidencia para soportar la Actividad de Gestión de Datos “Mantenga comunicaciones regulares entre el área de protección de datos, la red de protección de datos y otras personas responsables en la materia” es mejor especificar el resultado deseado dentro de la pregunta en vez de reescribir la actividad como una pregunta. Preguntar “¿Los individuos responsables por protección de datos se comunican de manera regular?” no será nunca tan efectivo como preguntar “¿Los contactos de protección de datos se reúnen con el equipo central de protección de datos trimestralmente?”. El individuo que responde sabrá exactamente qué se espera de su respuesta y la tarea de suministrar la Evidencia será mucho menos onerosa.
Registre las preguntas de recolección de Evidencia en la columna B del Cuaderno de Evidencias. Las pregunta as que se correspondan con las actividades de gestión de información obligatorias irán en la parte de arriba (empezando en la celda B8) y las actividades de gestión de información Adicionales irán en la parte inferior (empezando con la celda B60).
Asigne Dueños Como se discutió en detalle en el Apéndice A: Fundamentos de una gestión estructurada de protección de datos , el Dueño puede ser el área de protección de datos o un individuo o grupo de individuos en las áreas operativas o de negocio. Nótese que el Dueño no necesariamente completa la actividad de gestión de información, pero en últimas es responsable por ella.
Registre el Dueño de cada actividad en la columna C.
Determine la Frecuencia Para cada Actividad de Gestión de Información, se debe definir una frecuencia. Todas las actividades de
gestión de información deben llevarse a cabo de manera regular- bien sea de manera periódica o continua.
Para cada actividad de gestión de información, el área de protección de datos determina la Frecuencia
apropiada dentro de la cual se debe suministrar la Evidencia. La frecuencia en que se proporciona la
Manual para Demostrar el Cumplimiento Legal: 20 Copyright© 2016 Nymity Inc.
Evidencia no es necesariamente la frecuencia con que se lleva a cabo la actividad. Por ejemplo, para las
actividades que se llevan a cabo de manera continua puede ser suficiente suministrar Evidencia resumida
mensual o trimestralmente.
Registre la Frecuencia de cada actividad en la columna D.
Recoja la Evidencia de los Dueños Después de que se configura el Scorecard por parte del área de protección de datos, el paso siguiente es
recoger la Evidencia. El área de protección de datos recoge las respuestas de las preguntas de recolección de
Evidencia así como la Evidencia que soporta dichas respuestas.
Ingrese la fecha de la actualización inicial en la celda F3. En la medida en que usted va completando las
siguientes secciones para cada Pregunta, el Puntaje se actualizará de manera automática.
La Respuesta contiene dos partes: (1) – una respuesta de sí o no a la Pregunta de Recolección de Evidencia
(columna F), y (2) un comentario para proveer Contexto adicional (columna G).
Evidencia: Todas las Preguntas cuya respuesta sea “sí” requieren Evidencia. El área de protección de datos
puede registrar la Evidencia en la columna H por medio de un link a un URL o una descripción de dónde
puede encontrarse ese documento.
El Score de Protección de Datos se calcula de manera automática Esta sección es para propósitos de información para entender cómo se grafica el score con base en el
Scorecard.
El Score de Protección de Datos representa el estado de la gestión en protección de datos como un
porcentaje de las actividades de gestión de información Obligatorias y Adicionales que están siendo
completadas y evidenciadas de manera permanente. El Score se calcula dividiendo el número de actividades
para las que el Dueño ha entregado Evidencia (p. ej. la Respuesta es “sí”), por el número de actividades
identificadas por el área de protección de datos. El resultado es igual al porcentaje de actividades para las
que se ha registrado Evidencia en esa fecha específica.
% Gerenciado = # de Actividades Obligatorias con Evidencia ÷ # Actividades Obligatorias
Manual para Demostrar el Cumplimiento Legal: 21 Copyright© 2016 Nymity Inc.
Cuando se ha registrado Evidencia para todas las Actividades Obligatorias, el score de protección de datos se
considera 100% Gerenciado, y el estado alcanza entonces la línea de Cumplimiento. Cuando se han
implementado y se ha registrado Evidencia para Actividades Adicionales de gestión de información, la
gestión de protección de datos de la organización ha superado los requisitos mínimos y en consecuencia
adquiere un score avanzado.
% Avanzado = # de Actividades Adicionales con Evidencia ÷ # de Actividades Adicionales
NOTA DE IMPLEMENTACIÓN
Para configurar el Scorecard (identificar las actividades, formular preguntas, asignar responsabilidades, etc.) se requieren la experiencia y el conocimiento especializado del área de protección de datos que sabe cuáles son los objetivos de gestión de protección de datos de la organización. Calcular el Score, no obstante, no requiere ese conocimiento.
Así, es fácil comparar diferentes áreas de la organización, así como revisar los resultados en el tiempo. Un score de cumplimiento del 80% en un área resulta en una comparación de “manzanas con manzanas” en una jurisdicción diferente o en otra área de negocio.
Hasta el momento en que se alcanza la Línea de Cumplimiento como Gerenciada en un 100%, el porcentaje
Avanzado e muestra como un Score potencial. En otras palabras, las Actividades de gestión de información
adicionales no afectan el Score hasta que todas las Actividades de gestión de información obligatorias se
completan. Aun cuando las Actividades de gestión de información adicionales no afectan el Score total, el
oficial de protección de datos todavía puede responder por ellas y recolectar Evidencia. Esto le permite al
oficial de protección de datos obtener una visión holística de la gestión de datos personales en la
organización.
NOTA DE IMPLEMENTACIÓN
El Scorecard le permite al oficial de protección de datos y a las partes interesadas a lo largo de la organización ver el impacto inmediato de sus propias actividades y de las actividades de sus contrapartes en el estado general de la gestión de protección de datos. Esto puede ser un motivador muy poderoso para monitorear de manera proactiva el estado y proveer Evidencia antes de que expire la Frecuencia. Una organización incluso se dio cuenta de que los usuarios entran en una especie de sana competencia para ver quién puede obtener el score más alto en la medida que usaban múltiples Scorecards.
Gestión permanente del Scorecard Las Actividades de gestión de información deben llevarse a cabo de manera permanente y la Evidencia debe
ser actualizada o reafirmada. Como tal, el Scorecard debe ser mantenido – puede ser actualizado de manera
periódica (mensualmente, trimestralmente o anualmente) o cuando las respuestas cambien (p. ej. cuando se
proporcione Evidencia para una nueva actividad).
Después de la primera actualización, la Respuesta (sí/no), Comentario y Evidencia se llenarán
automáticamente, refiriendo al lector al estado anterior.
Manual para Demostrar el Cumplimiento Legal: 22 Copyright© 2016 Nymity Inc.
Para actualizar el estado – como consecuencia de una actualización programada – ingrese una nueva fecha
en la celda K2. Identifique cualquier Respuesta que requiera ser actualizada. Las Respuestas deben ser
actualizadas cuando:
La respuesta ha cambiado; por ejemplo, la respuesta era ‘no’ y la actividad ahora se ha completado y
se ha suministrado Evidencia.
La Frecuencia sea ha vencido; por ejemplo, la última actualización fue hace tres meses y la actividad
tiene una frecuencia trimestral.
Para las preguntas que requieren una Actualización, seleccione “Sí” en
la columna “Actualización” para suministrar nuevas respuestas. La
celda automáticamente se resaltará en Amarillo para que sea más
sencillo buscar los cambios que se han hecho de una actualización a la
siguiente.
El Cuaderno de Evidencias permite 20 Actualizaciones por default. Si el
Cuaderno de Evidencias se actualiza trimestralmente, el Scorecard
puede demostrar el cumplimiento legal por un período de cinco años.
NOTA DE IMPLEMENTACIÓN
Automático La visualización del Accountability Scorecard se actualiza cada vez que una Actualización se incluye en el Evidence Worksheet.
Manual para Demostrar el Cumplimiento Legal: 23 Copyright© 2016 Nymity Inc.
En 2002, Nymity empezó su investigación sobre Responsabilidad Demostrada. En 2012, Nymity potenció su investigación con una serie de talleres prácticos alrededor del mundo, que incluyeron autoridades de protección de datos para examinar qué le implica a las organizaciones “probar” la responsabilidad demostrada a través de una gestión efectiva de protección de datos. Un componente de esta investigación resultó en un entendimiento de que la gestión estructurada en protección de datos personales tiene tres componentes claves: 1. Responsabilidad, 2. Control, y 3. Evidencia.
1. Responsabilidad Las organizaciones responsables implementan y mantienen una serie de actividades de actividades de gestión de información
La investigación de Nymity dio como resultado el Marco Nymity de Gobernanza en Privacidad y Protección de Datos™ (el “Marco”). Este Marco forma la base para el elemento de “Responsabilidad” en una aproximación estructurada a la gestión de protección de datos.
El Marco no es una lista de chequeo de actividades que deben ser completadas; más bien, se trata de un menú para gestionar programas de protección de datos personales que puede ser adaptado a cualquier organización. La gestión de protección de datos no es igual en ninguna organización, y en consecuencia este Marco brinda la flexibilidad necesaria para planear, escalar y comunicar eficazmente la gestión de dichos programas. El Marco no se basa en principios ni en controles, sino en actividades de gestión de información que pueden ser monitoreadas. Es un listado completo, jurisdiccional e industrialmente neutro, de más de 130 actividades de gestión de información organizadas en 13 Categorías de Gestión de Datos.
En una aproximación estructurada a la gestión de protección de datos, la responsabilidad significa implementar y mantener de manera permanente las Actividades de gestión de información (Actividades) que son relevantes para esa organización en concreto. Las actividades de gestión de información son procedimientos, políticas, medidas, mecanismos y otras iniciativas que impactan el tratamiento de datos personales o que se relacionan con el cumplimiento de las leyes de protección de datos personales. Las Actividades apropiadas se determinan con base en los requerimientos de cumplimiento, el perfil de riesgos, los objetivos de negocio y el Contexto de l tratamiento de datos (tipo de datos tratados, naturaleza del tratamiento, finalidades de la recolección, uso y puesta a disposición, etc.) de la organización.
2. Control Un individuo responde por la gestión y el monitoreo de cada una de las actividades de gestión de información
El control es el segundo elemento de la gestión estructurada de protección d datos y se construye sobre el elemento anterior de Responsabilidad. Aun cuando el Oficial de Protección de Datos es responsable por el cumplimiento legal en la materia, el área de protección de datos en sí misma usualmente trata muy pocos datos personales, si es que lo hace. Como tal, la efectividad del programa de protección de datos se basa en que se lleven a cabo las actividades de gestión de información apropiadas en todos los puntos del ciclo de
Apéndice A: Fundamentos de la Gestión Estructurada de Protección de Datos
Categorías de Gestión de Datos Personales
1. Mantenga una estructura de gobernanza
2. Mantenga un inventario de datos personales
3. Mantenga una Política de Protección de Datos
4. Integre la protección de datos en las operaciones
5. Mantenga un programa de capacitación y concientización
6. Gestione los riesgos de seguridad de la información
7. Gestione los riesgos con terceros
8. Mantenga avisos de privacidad
9. Responda a las peticiones y quejas de los individuos
10. Monitoree las nuevas prácticas operacionales
11. Mantenga un programa de gestión de incidentes y vulneraciones de datos
12. Monitoree las prácticas de manejo de datos
13. Haga seguimiento a criterios externos
Manual para Demostrar el Cumplimiento Legal: 24 Copyright© 2016 Nymity Inc.
vida del dato personal, desde el punto de recolección hasta el punto de destrucción. El Control de algunas actividades de gestión de información recaerá en las unidades operativas y de negocio, por ejemplo, recursos humanos, marketing, desarrollo de productos, TI, servicio al cliente, etc., toda vez que allí es donde se está recolectando y tratando realmente la información personal.
Las Actividades de gestión de información pueden ser:
Mantenidas por el área de protección de datos, por ejemplo: o Mantenga una política de protección de datos personales o Lleve a cabo entrenamientos en protección de datos o Mantenga un aviso de privacidad que detalle las prácticas de la organización en el manejo de
datos personales o Identifique de manera continua los requerimientos sobre cumplimiento legal (compliance)
(ej. leyes, jurisprudencia, regulación, etc.).
Influenciadas u observadas por el área de protección de datos, por ejemplo: o Integre la protección de datos en las prácticas de marketing directo o Integre la protección de datos en una política de seguridad de la información o Lleve a cabo procesos de debida diligencia (due diligence) de las prácticas de protección de
datos y seguridad de la información de los potenciales proveedores/encargados
La Tabla 0.1 ofrece ejemplos de las actividades de gestión de información dentro de cada una de las 13 Categorías de Gestión de Datos llevadas a cabo por distintas partes interesadas dentro de la organización.
Categorías de Gestión de Datos
Actividades cuyo dueño es el Área de protección de datos – Ejemplos
Actividades cuyos dueños son las Unidades de Negocio – Ejemplos
1. Mantenga una estructura de gobernanza
Mantenga una Estrategia de Protección de Datos
Dueño: Recursos Humanos
Exija que los empleados reconozcan y se adhieran a las políticas de protección de datos
2. Mantenga un inventario de datos personales
Mantenga un inventario de bases de datos (qué datos personales son almacenados y en dónde)
Dueño: Administrador de Archivos Corporativos
Clasifique los datos personales tratados por tipo (ej. sensibles, privados, semi-privados, públicos)
3. Mantenga una política de protección de datos
Mantenga una política de protección de datos personales
Dueño: Recursos Humanos
Mantenga una política de protección de datos de empleados
4. Integre la protección de datos en las operaciones
Mantenga políticas/procedimientos para la recolección y uso de datos personales de niños y menores de edad
Dueño: Marketing
Integre la protección de datos en las prácticas de marketing directo
5. Mantenga un programa de capacitación y concientización
Lleve a cabo entrenamientos en protección de datos
Dueño: Servicio al cliente
Incorpore la protección de datos en otros programas operacionales de capacitación
Manual para Demostrar el Cumplimiento Legal: 25 Copyright© 2016 Nymity Inc.
Categorías de Gestión de Datos
Actividades cuyo dueño es el Área de protección de datos – Ejemplos
Actividades cuyos dueños son las Unidades de Negocio – Ejemplos
tales como recursos humanos, seguridad, call center
6. Gestione los riesgos de seguridad de la información
Mantenga una política sobre los usos aceptables de los recursos de información
Dueño: Seguridad de la Información
Implemente medidas de seguridad tecnológicas (ej. detección de intrusos, firewalls, monitoreo)
7. Gestione los riesgos con terceros
Mantenga requerimientos de protección de datos personales para terceros (ej. clientes, proveedores, encargados, afiliados)
Dueño: Legal
Mantenga procedimientos para celebrar contratos o convenios con todos los encargados
8. Mantenga avisos de privacidad
Mantenga un aviso de privacidad que detalle las prácticas de la organización en el manejo de datos personales
Dueño: Seguridad Corporativa y Mantenimiento
Ponga a disposición el aviso de privacidad en medios visibles como letreros y carteles
9. Responda a las peticiones y quejas de los individuos
Investigue las razones de fondo de las quejas de protección de datos
Dueño: Call Center
Mantenga procedimientos para dar respuesta a las peticiones, quejas y reclamos
10. Monitoree las nuevas prácticas operacionales
Mantenga guías y formatos para las Evaluaciones de Impacto de Privacidad (PIAs por sus siglas en inglés) y las Evaluaciones de Impacto de Protección de Datos (EIPDs)
Dueño: Tecnologías de la Información
Lleve a cabo PIAs/EIPDs para nuevos programas, sistemas y procesos
11. Mantenga un programa de gestión de incidentes y vulneraciones de datos
Mantenga un plan de respuesta a incidentes/brechas de datos personales
Dueño: Legal:
Involucre a un equipo de investigación forense
12. Monitoree las prácticas de manejo de datos
Monitoree y reporte las mediciones del programa de protección de datos
Dueño: Control Interno
Lleve a cabo auditorías internas del programa de protección de datos (ej. auditoría operativa del Área de Protección de Datos)
13. Haga seguimiento a criterios externos
Identifique de manera continua los requerimientos sobre cumplimiento legal (compliance) (ej. leyes, jurisprudencia, regulación, etc.)
Dueño: Cumplimiento
Identifique y gestione los conflictos entre legislaciones
Tabla 0.1 – Ejemplos de Actividades cuyos dueños son el Área de protección de datos y las Unidades de Negocio
Manual para Demostrar el Cumplimiento Legal: 26 Copyright© 2016 Nymity Inc.
3. Evidencia La Documentación que es un subproducto de las actividades de gestión de información se pone a disposición por parte del Dueño de la Actividad.
El tercer elemento de la gestión estructurada de protección de datos es la Evidencia. En las organizaciones responsables, el Dueño de una actividad de gestión de información provee la Evidencia de soporte que da cuenta de que la actividad está siendo mantenida.
Cuando las actividades de gestión de información se llevan a cabo de manera continua, la Evidencia es un subproducto de esto. La Evidencia es documentación que puede ser formal (ej. políticas, procedimientos, reportes) o información (ej. comunicaciones, agendas, logs de sistemas) y puede ser usada con Contexto por el oficial de protección de datos para demostrar que una actividad se está llevando a cabo. Por ejemplo, la actividad de gestión de información “Mantener guías y formatos para los PIA” produce varios tipos de Evidencia, incluyendo: políticas que requieren que se llevan cabo los PIAs, procedimientos y flujos de trabajo documentando los procedimientos de aprobación, guías y planillas de PIAs, documentos de entrenamiento sobre cómo adelantar PIAs, logs de PIAs, etc. Esta documentación sirve como Evidencia de la responsabilidad demostrada.
Refiérase a la Tabla X.X para las características de la documentación formal e informal y los ejemplos correspondientes:
Documentación Características Ejemplos
Formal Típicamente publicada, mantenida y comunicada a los grupos designados
Políticas, Procedimientos, Reportes
Informal Puede mostrar un ejemplo de que ha ocurrido una actividad, tal como una conversación por correo electrónico entre dos individuos clave o el registro de participación en un webinar
Comunicación por correo electrónico, agendas de reuniones, logs de sistemas
Tabla a 0.2 – Características de la documentación formal e informal
Tabla 0.3La Tabla 0.3 describe el rol que el área de protección de datos juega dependiendo de la fuente de la documentación, así como ejemplos de los distintos tipos de documentos:
Fuente Rol del Área de protección de datos
Ejemplos de documentos
Producidos
Generado por el área de protección de datos con insumos de otros interesados claves
El área de protección de datos lleva a cabo la actividad
Política de protección de Datos
Aviso de privacidad
Currículo de entrenamiento en protección de datos
Guías para llevar a cabo PIAs
Política/procedimientos para usos secundarios de datos personales
Influenciados
Influenciados por el área de protección de datos pero creados por otros interesados claves
El área de protección de datos colabora con su opinión o su concepto
Procedimientos de marketing directo
PIAs
Políticas de empleo
Tablas de retención documental
Recolectados
Entregados al área de protección de datos por otros interesados
El área de protección de datos se mantiene al tanto sobre los avances, una vez se
Resultados de las auditorías internas
Resultados de las evaluaciones de seguridad de TI
Manual para Demostrar el Cumplimiento Legal: 27 Copyright© 2016 Nymity Inc.
Fuente Rol del Área de protección de datos
Ejemplos de documentos
han terminado o llevado a cabo a satisfacción las actividades
Planes de continuidad del negocio
Tabla 0.3 – Rol del Área de protección de datos en la producción de documentación
La Error! Reference source not found. describe como la documentación formal o informal puede ser producida, influenciada o recolectada por el área de protección de datos como Evidencia de las Actividades de gestión de información
Actividades de gestión de información
Evidencia/ Documentación Fuente/Rol Formal/ Informal
Mantenga una política de protección de datos personales
Política de Protección de Datos
Producida por el Área de Protección de Datos
Formal
Integre la protección de datos en las políticas/procedimientos de acceso a las cuentas corporativas de correo electrónico de los empleados (ej. vacaciones, permisos, terminación)
Política y procedimiento de monitoreo de correos electrónicos
Influenciado por el Área de Protección de Datos
Producido por el Área de Tecnologías de la Información
Formal
Mida la participación en las actividades de entrenamiento en protección de datos (ej. número de participantes, resultados)
Informe generado por el sistema de resultados del examen de protección de datos
Recolectado por el Área de Protección de Datos
Producido por Recursos Humanos
Informal
Ponga a disposición el aviso de privacidad en las comunicaciones de marketing (ej. correos electrónicos, folletos, ofertas)
Ejemplos de comunicaciones de marketing vía correo electrónico
Influenciado por el área de protección de datos
Producido por Marketing
Informal
Frecuencia: Las Actividades de Gestión de Información son permanentes Las organizaciones responsables no ven la protección de datos como un proyecto, aunque en muchos casos la gestión de datos personales puede iniciar como un proyecto. Por el contrario, una organización realmente responsable asigna recursos a la gestión de protección de datos y continuamente revalúa las necesidades de dicha gestión para asegurar que las actividades de gestión de información se encuentran debidamente alineadas.
Un Programa de Protección de datos nunca debe ser considerado una actividad concluida; requiere de una evaluación y revisión permanente para que sea efectivo y relevante. Los diferentes elementos
Manual para Demostrar el Cumplimiento Legal: 28 Copyright© 2016 Nymity Inc.
deben ser monitoreados y evaluados constantemente y actualizados. – Entendiendo la responsabilidad demostrada22.
La gestión de datos personales es un conjunto de actividades de gestión de información permanentes que se llevan a cabo en forma periódica o continua.
Las actividades periódicas se llevan a cabo con una frecuencia establecida, p.ej., trimestral o anual. Estas actividades son tratadas como proyectos o tareas con un principio y un final definido.
Las actividades continuas son operaciones incorporadas en las operaciones diarias. Frecuentemente estas actividades se llevan a cabo en forma repetitiva, haciendo los ajustes continuos dirigidos a lograr el resultado deseado.
La Tabla 0.5 analiza los dos enfoques de frecuencia de las actividades de gestión de información para mostrar sus diferencias:
Actividad de Gestión de Información
Periódica Continua
Mantenga diagramas de flujo para los flujos de datos personales (ej. entre sistemas, entre procesos, entre países)
Anualmente, requiera que el área interesada revise los diagramas de flujo para detallarlos y actualizarlos como sea necesario
Como parte de los requisitos del proyecto de gestión, establezca que los cambios propuestos al flujo de datos y los diagramas de flujo sean actualizados como condición del visto bueno del proyecto.
Mida la participación en las actividades de entrenamiento en protección de datos (ej. número de participantes, resultados)
Cada trimestre revise los reportes generados por el sistema de capacitación en línea para determinar si los empleados han completado su capacitación
Configure los sistemas de educación en línea para generar alertas que indiquen cuando un empleado no ha completado su entrenamiento en el día asignado y envíe un mensaje al gerente recomendando su seguimiento inmediato
Involucre en los asuntos de protección de datos a las partes interesadas dentro de la organización (ej. seguridad de la información, marketing, etc.)
Establezca un comité de protección de datos con funciones cruzadas entre las áreas interesadas (p.ej. TI, Marketing, Legal, RRHH, etc.) quienes se reunirán cada trimestre para discutir temas de protección de datos
Cree un correo electrónico o grupo de discusión para las diferentes áreas interesadas en protección de datos, con el propósito de facilitar la comunicación en dichos temas.
Mantenga procedimientos para restringir el acceso a información personal (ej. acceso basado en roles o separado según funciones)
Revise mensualmente los reportes de los usuarios activos del sistema para garantizar que su acceso sigue siendo apropiado y se cierren las sesiones correctamente
Configure un sistema de Recursos Humanos para enviar alertas al Área de Seguridad de Información cuando los empleados son despedidos o cuando se modifica el título de su posición, departamento o estructura de reporte
La decisión de si una actividad se debe llevar a cabo en forma periódica o continua depende de diferentes factores. Las actividades periódicas pueden fomentar estructuras, mientas que las actividades continuas pueden generar una cobertura más completa y prevenir el riesgo.
22 Oficina del Comisionado de Información y Privacidad de Alberta. (2012). Entendiendo la Responsabilidad Demostrada con un Programa de
Protección de Datos. Alberta, Canadá.
Manual para Demostrar el Cumplimiento Legal: 29 Copyright© 2016 Nymity Inc.
La organización que ha incorporado la responsabilidad, el control y la evidencia en su programa de protección de datos ha implementado una aproximación de responsabilidad demostrada y está lista para demostrar dicha responsabilidad cuando sea necesario.