NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

4. Integre la protección de datos en las operaciones

Mantenga políticas y procedimientos operacionales consistentes con la política de protección de datos personales, los requerimientos legales y los objetivos del sistema de gestión de riesgo operativo

CATEGORÍA DE GESTIÓN DE DATOS:

4. Integre la protección de datos en las operaciones

Mantenga políticas y procedimientos operacionales consistentes con la política de protección de datos personales, los requerimientos legales y los objetivos del sistema de gestión de riesgo operativo

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Mantenga políticas/procedimientos para la recolección y uso de datos personales sensibles (incluyendo datos biométricos)

Algunos datos personales son considerados sensibles y requieren de niveles de seguridad más altos para su cuidado y protección. Dependerá de cada jurisdicción lo que se entienda por “sensible”, sin embargo, los ejemplos más comunes son:

  • Origen étnico o racial;
  • Opiniones políticas;
  • Religión o creencias filosóficas;
  • Afiliación sindical;
  • Información de salud física y mental;
  • Preferencias sexuales;
  • Beneficios sociales;
  • Información financiera;
  • Identificadores de gobierno, p.ej. números de seguridad social; y
  • Antecedentes penales y procedimientos legales.
Algunos otros tipos de datos que frecuentemente son considerados sensibles incluyen los siguientes:
  • Biométricos;
  • Datos genéticos;
  • Datos de localización; y
  • Datos relacionados con niños.
La organización debe asegurar que las políticas y procedimientos contengan la protección legalmente necesaria respecto de los procesos que involucren datos personales sensibles.

Mantenga políticas/procedimientos para la recolección y uso de datos personales de niños y menores de edad

Aunque no es definido tradicionalmente en las leyes de privacidad y protección de datos como “sensible”, cada vez más, las autoridades de protección de datos están reconociendo que los datos referentes a los niños y menores necesitan una mayor protección, pues tales datos pertenecen a una población vulnerable. Los niños y los menores pueden no entender los avisos de privacidad o las consecuencias de la disposición de sus datos, y las organizaciones se arriesgan a violar la noción de “uso justo” cuando recogen y utilizan estos datos sin las protecciones y permisos adecuados. Además, algunas jurisdicciones tienen leyes o disposiciones específicas en protección de datos que se ocupan de los datos de niños y menores junto con las responsabilidades de la organización de establecer las herramientas de supervisión para los padres y representantes. En general, las organizaciones necesitan establecer políticas y procedimientos para asegurar el manejo apropiado de los datos personales pertenecientes a niños y menores.

Mantenga políticas/procedimientos para velar por la calidad de los datos

Los requisitos de calidad de datos incluyen que la información sea exacta, completa y actualizada. Las organizaciones mantienen políticas/procedimientos con respecto a las garantías de calidad de datos en:

  • Ingreso de datos;
  • Procedimientos de verificación;
  • Requisitos de almacenamiento; y
  • Gestión en curso de datos.

Mantenga políticas/procedimientos para anonimizar los datos personales

Cuando los datos personales no se necesitan más o cuando la identidad del individuo asociado con los datos personales no se requiere para un propósito definido, existen procesos/políticas que identifican los pasos para que la organización convierta los datos personales en pseudo-anónimos, anónimos, o des-identificados. Fuera del alcance de esta actividad de gestión de información está la determinación sobre cuánto tiempo deben conservarse los datos personales de una forma identificable.

Mantenga políticas/procedimientos para revisar los tratamientos hechos total o parcialmente por medios automatizados

Algunas decisiones que se toman respecto de la información personal de los titulares pueden tener efectos significativos o hasta legales, razón por la cual no se deben llevar a cabo tratamientos con una base puramente automatizada. Las organizaciones tienen mecanismos par avaluar la importancia de cualquier tratamiento automatizado que se lleve a cabo (esto es, hacer que las decisiones tengan un efecto significativo o hasta legal sobre la persona o titular de los datos), y tomar las medidas necesarias para implementar la revisión manual de los procesos en los cuales se tomen decisiones importantes.

Mantenga políticas/procedimientos para usos secundarios de datos personales

Los usos secundarios de datos personales, corresponden a los usos que van más allá de la finalidad primaria de los datos personales por parte de una organización. Las organizaciones tienen políticas/procedimientos que definen: 

  • Las finalidades de tratamiento de los datos personales; y
  • Cómo abordar situaciones donde se desea utilizar datos personales en formas que difieren de las finalidades definidas.

Mantenga políticas/procedimientos para obtener válidamente el consentimiento

Las organizaciones establecen procedimientos y mecanismos para obtener el consentimiento, (por ejemplo, formatos de consentimiento que registran el consentimiento otorgado por un usuario) y grabar las preferencias del usuario (por ejemplo, un usuario puede aceptar la recepción de actualizaciones de software pero no promociones o marketing relacionado).

Fuera del alcance de esta actividad están la obtención, grabación y aplicación de solicitudes de eliminación de información de una base de datos (opt-out).

Mantenga políticas/procedimientos para la destrucción segura de datos personales

Una organización cuenta con políticas o procedimientos que definen los métodos aceptables para la destrucción segura de datos personales, independientemente si los datos personales se encuentran en formato electrónico o físico.

Integre la protección de datos en el uso de cookies y de mecanismos de rastreo y localización

Los procedimientos organizacionales relacionados con el uso de cookies y/o otros mecanismos de rastreo y localización se crean con el fin de mitigar riesgos en materia de protección de datos por el uso de dicha tecnología (eso es, web beacons y equipos de huellas digitales). 

Los procedimientos organizacionales generalmente establecen el uso de mecanismos de obtención del consentimiento válidos; asimismo establecen el uso transparente de cookies y/o otros mecanismos de rastreo y localización;  y describen los mecanismos necesarios para desactivar cookies y/o otros mecanismos de rastreo y localización. Las cookies y/o otros mecanismos de rastreo y localización deben ser documentados en el aviso de privacidad de la organización. 

Queda fuera del alcance de esta Actividad de Gestión de Información el rastreo y localización a que se refiere la actividad denominada: “Integre la protección de datos en el uso de dispositivos de geo-localización (de rastreo y/o localización)”.


Integre la protección de datos en las prácticas de retención de registros

Las organizaciones establecen políticas y procedimientos de conservación de registros para asegurar el almacenamiento apropiado de las copias físicas y de los expedientes electrónicos. El área de protección de datos garantiza que estas prácticas tengan en cuenta problemas de protección de datos, tales como: 

  • Limitaciones en la retención de datos personales;
  • Respecto a los requisitos de retención hechos para efectos de posibles litigios y para cumplimiento;
  • Quiénes tienen acceso a los expedientes almacenados; y
  • Dónde se almacenan los expedientes.
Asimismo, la organización debe hacer frente a la retención bajo la forma de planes de copia de seguridad del sistema, incluyendo pruebas y almacenamiento en instalaciones fuera de la organización.

Integre la protección de datos en las prácticas de marketing directo

Las comunicaciones de marketing directo son usadas por las organizaciones para hacer envíos de mensajes a personas determinadas e identificadas, con el propósito de mantener una relación con clientes potenciales o existentes. Las organizaciones deben mantener políticas o procedimientos que aseguren que las recomendaciones en materia de protección de datos para el envío de mensajes de marketing directo se están tomando en consideración. Algunas recomendaciones son:

  • Hacer uso de mecanismos válidos de obtención del consentimiento;
  • Registrar las preferencias del cliente para evitar llamadas innecesarias; y
  • Tener presente el registro “No Llame” para aquellas organizaciones que se encuentren en países con una regulación de esta naturaleza.

Integre la protección de datos en las prácticas de marketing vía correo electrónico

El marketing vía correo electrónico es una forma efectiva y rápida de alcanzar grandes audiencias a bajo costo. Sin embargo, el profesional de marketing tiene que ser cuidadoso en cuanto a los alcances de los esfuerzos esperados de tal manera que no sean tan amplios que lleguen a receptores que se puedan llegar a molestar por la recepción de mensajes inesperados o no bienvenidos. En esta Actividad de Gestión de Información se analizan los acercamientos para la obtención de información y sobre las preferencias de correos electrónicos de los clientes. No se analiza las preferencias de los consumidores en mercadeo directo o dirigido.

Integre la protección de datos en las prácticas de marketing vía telefónica (telemercadeo)

El telemercadeo es el uso de las telecomunicaciones como medio para comunicar ofertas, promociones, recaudar fondos u otros mensajes comerciales, a clientes potenciales o existentes. Las organizaciones tienen políticas/procedimientos que aseguran que la protección de datos se tiene en cuenta al hacer parte de campañas de telemercadeo, incluyendo:

  • Aclaraciones necesarias durante las llamadas telefónicas;
  • Uso de marcación automática;
  • Grabación de la llamada;
  • Consentimiento válido; y
  • Guardar lista de eliminar/no llamar.

Integre la protección de datos en las prácticas de publicidad digital (ej. en línea, dispositivos móviles)

El advenimiento del marketing digital ha estado acompañado por un mayor nivel de escrutinio de los problemas relacionados con la protección de datos de lo que antes había sido el caso con los medios tradicionales. Bien sea en línea o en los dispositivos móviles, los datos están en el centro del mundo digital del marketing. Las tecnologías digitales tienen la capacidad de recoger, utilizar y divulgar información sobre los individuos sin su conocimiento o aprobación. Gran parte de la preocupación sobre protección de datos que el marketing digital ha encontrado está relacionada con la observación del comportamiento del consumidor y la dirección de los anuncios basados en este comportamiento. Las organizaciones también tienen políticas y procedimientos existentes para el uso de la información individual en la creación de  perfiles para la publicidad basada en el comportamiento, incluyendo la recolección de la información que se utiliza para hacer seguimiento a las preferencias del usuario (ej., tarjetas de puntos que hacen seguimiento a las compras en el supermercado) y la actividad en línea (ej., historial de navegación de los sitios visitados).

Fuera del alcance de esta actividad de gestión de información está:

  • Integrar la protección de datos en el uso de cookies y de mecanismos de rastreo;
  • Integrar la protección de datos en el uso de dispositivos de Geo-localización;
  • Integrar la protección de datos en prácticas directas de marketing fuera de línea;
  • Integrar la protección de datos en las  actividades de marketing por correo electrónico.

Integre la protección de datos en las prácticas de contratación de empleados

Las organizaciones implementan procedimientos que deben ser seguidos por los departamentos de RRHH para definir los tipos de prácticas aceptables en materia de protección de datos dentro de las cuales se incluyen las prácticas de contratación de empleados. El Área de Protección de Datos:

  • Define los procedimientos para las prácticas aceptables de recolección, uso, acceso, retención seguridad y flujos transfronterizos de datos personales;
  • Recomienda preguntas válidas que pueden usarse en las entrevistas y en las revisiones de antecedentes;
  • Aprueba los formatos en línea y en formato físico que RRHH utiliza para recolectar información personal de los candidatos externos y externos;
  • Revisa las políticas y los procedimientos relacionados con verificaciones de antecedentes, incluyendo cuándo deben ser usados y cómo obtener consentimiento válido.

Integre la protección de datos en las prácticas de la organización de uso de redes sociales

Las políticas y los procedimientos mantenidos por la organización con respecto a las prácticas en redes sociales incluyen instrucciones sobre:

  • Recolección pasiva datos personales (por ejemplo, individuos que dejan comentarios o publicaciones en una página corporativa);
  • Recolección activa de datos personales (por ejemplo, “hacerse amigo” o buscar perfiles de los empleados o clientes); y
  • Cómo pueden ser utilizados, asegurados y conservados los datos personales recolectados.
Las políticas en torno a las redes sociales pueden diferir en gran medida según la organización, sin embargo, esta actividad de gestión de información tiene en cuenta los aspectos más importantes para cualquier negocio que maneje datos personales y tenga empleados y/o proveedores que utilizan redes sociales.

Integre la protección de datos en las políticas/procedimientos BYOD (dispositivos personales en el lugar de trabajo)

Esta Actividad de Gestión de Información analiza la importancia de incluir consideraciones en materia de protección de datos en el desarrollo de políticas y procedimientos para contemplar los riesgos que surgen de autorizar o permitir la conexión de dispositivos propiedad del personal o visitantes en la red de datos de una organización. 
Esta Actividad de Gestión de Información no contempla controles de seguridad que buscan mejorar la protección de datos en diferentes dispositivos. 


Integre la protección de datos en las prácticas de salud y seguridad

La organización proporciona servicios y programas para asegurar el bienestar de sus empleados, proveedores y visitantes. El Área de Salud y Seguridad de la organización asegura que las prácticas de salud y seguridad no entren en conflicto con la política de protección de datos de la organización, incluyendo:

  • La recolección de datos personales durante los incidentes; y
  • La forma en que los datos personales son tratados, protegidos y retenidos.

Integre la protección de datos en la interacción con los comités de trabajo

Un Comité de Empresa es un grupo creado al interior de la organización, elegido por los empleados y que actúa en nombre y representación de los empleados. Áreas como Recursos humanos u otras áreas de negocio trabajan con el Comité de Empresa cuando alguna iniciativa organizacional afecte a los empleados. Considere que un Comité de Empresa solo existe en algunos países específicos y no es un concepto general global. Estos están separados de los sindicatos tradicionales de empleados. 

Antecedentes de la codecisión de derechos:
 
Para lograr una cooperación exitosa es fundamental tener en cuenta que la introducción y uso de cualquier sistema/aplicación/herramienta, etc., que pretenda monitorear el comportamiento o desempeño de los empleados, puede incrementar el derecho del Comité de Empresa para que sea tomada en cuenta en una decisión conjunta (o codecisión) con el empleador. 

El Comité  de Empresa puede llegar a tener el derecho de codecisión respecto a la implementación y uso de dispositivos técnicos que son designados para monitorear el comportamiento o desempeño de los empleados. La mayoría de los sistemas/aplicaciones/herramientas actuales no consideran este aspecto de codecisión y son, por defecto, capaces de recolectar información personal de los empleados. Por lo tanto, los datos recolectados por el sistema/aplicación/herramienta son muy relevantes para las actividades del Comité de Empresa. 
Otras aéreas en las que el Comité de Empresa tiene derechos de codecisión son:

  • Comportamiento de los empleados y operaciones;
  • Descansos del personal y horas laborables;
  • Reducción o ampliación de las horas de operación normales;
  • Hora, lugar y forma de pago de sueldos/salarios;
  • Vacaciones y días festivos;
  • Normas sobre la prevención de accidentes y enfermedades profesionales;
  • Nombramiento y retiro de personal 
  • Asignación o retiro del personal de los espacios de trabajo; o
  • Primas, bonificaciones y remuneraciones en función del desempeño. 

Integre la protección de datos en las prácticas para el monitoreo de empleados

La supervisión de los empleados es el proceso que establece el Departamento de Recursos Humanos para supervisar la actividad laboral del empleado y así detectar actividades que puedan afectar negativamente a la compañía. El Área de Protección de Datos supervisa estas iniciativas de monitoreo para asegurar que se incluyen asuntos relacionados con la protección de datos, tales como:

  • Recolección de datos personales del empleado solamente para propósitos específicos, considerados razonables; y
  • Obtención de consentimiento válido en los casos pertinentes.
Las leyes y las regulaciones relativas a la supervisión de los empleados pueden ser diferentes en la jurisdicción en la cual opera una organización; una organización debe tener aprobación legal/del área de protección de datos, para los procesos y procedimientos de supervisión de empleados.

Fuera del alcance de esta actividad de gestión de información está:
  • La utilización de geolocalización y dispositivos de seguimiento para seguir el movimiento del empleado;
  • La supervisión de los empleados por medio de circuitos cerrados de televisión; y
  • Realizar investigaciones internas sobre comportamiento del empleado.

Integre la protección de datos en las prácticas de uso de sistemas de video-vigilancia

Un sistema de CCTV se utiliza para:

  • Hacer seguimiento o monitorear lo que un individuo o un grupo está haciendo;
  • Capturar información que podría ser utilizada para investigar un crimen; y
  • Utilizar la vigilancia como medio para la disuasión del crimen.
Para el uso del CCTV, una organización debe desarrollar un plan empresarial para cualquier sistema propuesto de video-vigilancia, estableciendo:
  • El propósito del sistema;
  • Resultados esperados; y
  • Tipo de tecnología y de equipo que será utilizado.
La organización con la ayuda del Área de Protección de Datos garantiza que las políticas y los procedimientos existen para identificar claramente:
  • Por qué se instala el CCTV;
  • Cómo se utiliza, almacena y protege la información, y
  • Quién tiene acceso a la información registrada y por qué razón.
La video- vigilancia secreta está fuera del alcance de esta actividad de gestión de información.

Integre la protección de datos en el uso de dispositivos de geo-localización (de rastreo y/o localización)

La Geo-localización corresponde a los datos sobre la ubicación geográfica de una persona o de un objeto (ej., dispositivos móviles). La Geo-localización se calcula mediante el uso de: 

  • Sistemas de localización mundial (“GPS”);
  • Triangulación de torres de celdas;
  • Proximidad a puntos con conexión  Wi-Fi; o 
  • Una combinación de estos métodos.
Una organización mantiene políticas y procedimientos revisados por el Área de Protección de Datos con respecto a la información proveniente de Geo-localización: 
  • La política define el uso, almacenamiento y acceso de la información de  Geo-localización almacenada en el dispositivo u obtenida a través de un GPS u otro mecanismo; y
  • Los procedimientos aseguran: 
    • Mecanismos válidos de consentimiento y de aviso;
    • Seguridad apropiada para el almacenamiento y transmisión de datos de Geo-localización; y
    • Métodos válidos para apagar las herramientas de Geo-localización cuando sea necesario.

Integre la protección de datos en las políticas/procedimientos de acceso a las cuentas corporativas de correo electrónico de los empleados (ej. vacaciones, permisos, terminación)

Cuando el empleado está fuera de la oficina, p.ej. en vacaciones, con permiso de ausencia o ha dejado de laborar en la empresa, debe existir un procedimiento para autorizar en forma adecuada a una persona para que pueda acceder a la cuenta corporativa de correo electrónico del empleado en la forma en que sea necesario para continuar con el desarrollo del trabajo y de tal forma que se respete la privacidad del empleado titular de la cuenta de correo electrónico.

Integre la protección de datos en los procedimientos para llevar a cabo investigaciones internas

Las investigaciones internas se utilizan cuando se considera que los empleados pueden estar infringiendo las reglas de la compañía. Esto se hace con el fin de esclarecer la verdad sobre las supuestas malas conductas al interior de la organización. Recursos humanos o la unidad interna de investigaciones mantiene políticas y procedimientos, que incluyen: 

  • La recolección y protección de las pruebas recogidas; 
  • Entrevistas con los sospechosos y los testigos; y 
  • Estudios forenses de los computadores y la red.

Integre la protección de datos en las prácticas de revelación de información a las autoridades

Cuando se recibe un requerimiento u otro mecanismo legal para ejercer algún derecho relacionado con la información personal de los empleados o clientes de la organización, las políticas y procedimientos de la empresa requieren estar alineados para cooperar con la autoridad que ejecuta la orden de revelación de información y proveer la información requerida. La organización debe asegurar que la información solicitada sea revisada y se encuentre dentro de los límites de información que la organización puede entregar, tomando las medidas necesarias posibles para proteger de la mejor forma los datos personales allí incluidos. Algunos tipos de revelación de información de esta naturaleza son los siguientes:

1. Responder una solicitud específica sobre información personal vía:

  • Requerimiento;
  • Citatorio; o
  • Otro tipo de documento (establecido en la ley) – como podría ser un medio preparatorio a juicio.
2. Solicitudes de rutina/periódicas – la organización recibe solicitudes de revelación de información la autoridad en forma periódica:
  • Las agencias de investigación pueden solicitar a la organización información en forma regular; y
  • Se requiere un Acuerdo de Intercambio de Información
3. Urgente:
  • Un requerimiento legal de revelación de información respecto de una información en específico – que puede variar entre información de contacto, información de transacciones o hasta imágenes; y
  • La solicitud es urgente y necesaria para dar seguimiento a una investigación, generalmente de naturaleza penal, p.ej. solicitudes de revelación de información para ubicar a un sospechoso, fugitivo, testigo o a una persona extraviada.
Deberá quedar fuera de esta actividad de gestión de información la revelación de información que no sea personal e identificable.

Integre la protección de datos en las prácticas de investigación (ej. investigación científica e histórica)

La organización debe mantener procedimientos para sus prácticas de investigación (research), incluir procesos para la obtención de datos personales con propósitos de investigación, asegurar la obtención del  consentimiento válido, disociar datos cuando sea posible y tomar todas las medidas de seguridad necesarias para proteger la información sensible.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.