NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

2. Mantenga un inventario de datos personales y mecanismos de transferencia de datos

Mantenga un inventario de sus bases de datos personales o de los flujos de datos personales, incluyendo transferencias internacionales, con un listado de categorías de datos

CATEGORÍA DE GESTIÓN DE DATOS:

2. Mantenga un inventario de datos personales y mecanismos de transferencia de datos

Mantenga un inventario de sus bases de datos personales o de los flujos de datos personales, incluyendo transferencias internacionales, con un listado de categorías de datos

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Mantenga un inventario de bases de datos (qué datos personales son almacenados y en dónde)

El Área de Protección de Datos crea y mantiene un inventario de las bases de datos con base en los cuestionarios estándar para los diversos departamentos y soluciones TIC. El inventario tendrá en cuenta los diversos tipos de datos almacenados (la naturaleza de los datos del empleado, datos del cliente, datos que le pertenecen a los clientes, y datos cuya propiedad se comparte con otra organización) y dónde se almacenan estos (por ejemplo, servidores, dispositivos móviles, computadores, en la nube, etc. así como su ubicación geográfica). Existen procesos para poner al día el inventario para que refleje los cambios en las bases de datos.

Clasifique los datos personales tratados por tipo (ej. sensibles, privados, semi-privados, públicos)

Clasificar los datos personales en categorías tales como “públicamente disponible”, “confidencial”, “sensible”, etc., permite que una organización se enfoque en lo que necesita ser protegido y cómo lograrlo. Los procedimientos se crean para establecer el esquema de clasificación de la organización, junto con los detalles acerca de la propiedad de los datos, una descripción de los requisitos de retención y requisitos de uso y de protección apropiados basados en el nivel de clasificación y los requisitos legales (por ejemplo, ciertos tipos de datos pueden estar sujetos a ciertos requisitos legales particulares, tales como datos financieros o de salud).

Obtenga la aprobación de la autoridad de protección de datos para el tratamiento (cuando la aprobación sea necesaria)

En algunas jurisdicciones, las organizaciones deben obtener aprobación de las autoridades de protección de datos antes de recolectar y tratar datos personales. Estas situaciones pueden presentarse cuando las operaciones de tratamiento puedan probablemente presentar riesgos específicos a los titulares, dependiendo de cómo la organización planee hacer el tratamiento:

  • Datos personales sensibles; o
  • Datos personales orientados a evaluar los aspectos personales del individuo o a determinar la idoneidad de un individuo para obtener un derecho, beneficio o contrato.
Los procedimientos de la organización determinan las instancias donde se requiere aprobación; consulte con la autoridad de protección de datos si no es claro si se requiere aprobación y documente dicho proceso.

Registre las bases de datos ante la autoridad de protección de datos (cuando el registro sea necesario)

En algunas jurisdicciones, las organizaciones deben notificar a la autoridad de protección de datos sobre sus actividades de tratamiento de datos y registrar sus bases de datos que contengan datos personales ante dicha autoridad. Existen procedimientos para evaluar:

  • Cuándo la organización debe registrar sus bases de datos;
  • Qué a incluir en los registros; y
  • Cómo ir haciendo el registro.

Mantenga diagramas de flujo para los flujos de datos personales (ej. entre sistemas, entre procesos, entre países)

El departamento de TI:

  • Sabe qué áreas de la organización recogen datos personales y a dónde van esos datos, dentro de los sistemas y procesos, y entre los proveedores y regiones geográficas;
  • Tiene un proceso para poner al día su mapa para reflejar cambios en los flujos de datos; y
  • Tiene al Área de Protección de Datos al día sobre cambios en los flujos de datos que afectan la protección de datos.
Conocer los flujos de datos dentro de la organización ayudará al Área de Protección de Datos a redactar una política de privacidad de datos exacta, explicando cómo la organización recoge, utiliza y transfiere los datos personales.

Mantenga registros de los mecanismos usados para hacer transferencias internacionales de datos (ej. cláusulas contractuales estándar, normas corporativas vinculantes o aprobación de la autoridad de protección de datos)

Enviar datos personales al extranjero, incluso dentro de la organización, puede aumentar los riesgos de protección de datos y la complejidad de su manejo debido a los diferentes requisitos legales respecto de transferencias internacionales de información. La organización guarda la documentación relacionada con todos los flujos transfronterizos, haciendo seguimiento a cómo se usa y al cumplimiento de los mecanismos de transferencia transfronterizos, tales como:

  • Puerto seguro / Escudo de la Privacidad;
  • Cláusulas modelo de la UE o mecanismos contractuales;
  • Normas corporativas vinculantes;
  • Aprobaciones de la autoridad de protección de datos; y
  • Confianza en cualquier exención de los requisitos de transferencia tal como se establece en la ley.
Fuera de alcance de esta actividad de gestión de protección de datos está el uso real de cualquier mecanismo particular de transferencia transfronterizo, tal como Puerto Seguro, Escudo de la Privacidad, Cláusulas Modelo, BCRs, etc. - esta actividad trata sobre el seguimiento a las transferencias y no sobre cómo hacerlas de forma legal.

Use Normas Corporativas Vinculantes como un mecanismo de transferencia de datos

Las Normas Corporativas Vinculantes (o BCR por su nombre en inglés Binding Corporate Rules), son códigos corporativos de conducta que son utilizados por organizaciones multinacionales para cumplir con las reglas de transferencia de datos. 

El motivo de las Normas Corporativas Vinculantes es asegurar que se han implementado medidas de seguridad adecuadas para proteger los derechos de los titulares de los datos personales. Las mismas deben ser aprobadas por la autoridad de protección de datos adecuada, proceso que ha evolucionado en la última década para incluir el reconocimiento mutuo de un procedimiento en el cual el solicitante puede escoger a una autoridad de protección de datos (basado en el criterio de su ubicación física y de negocio), para que actúe como “autoridad encargada”. Posteriormente la autoridad encargada facilita la autorización de procesos por parte de otras autoridades de protección de datos. 


Use contratos como mecanismo de transferencia de datos (ej. cláusulas contractuales estándar o contratos de transmisión y/o remisión de datos)

Tanto los gobiernos como las autoridades reguladoras han creado modelos de cláusulas para facilitar la transferencia de datos personales de un régimen de protección de datos personales, a un país receptor que no cuente con una protección adecuada en la materia. Cuando se llevan a cabo remisiones de datos personales a un tercero ubicado en un país con una protección inadecuada en materia de protección de datos personales, la organización utiliza estas cláusulas contractuales estándar tanto en sus contratos con proveedores como en sus acuerdos de tratamiento, para asegurar la protección de los datos personales que se comparten.

Use las Reglas de Flujo Transfronterizo de Datos de APEC como mecanismo de transferencia de datos

El Foro de Cooperación económica Asia-Pacífico (“APEC”) desarrolló el sistema de Reglas de Flujo Transfronterizo de Datos (o “CBPR” por sus siglas en ingles Cross Border Privacy Rules) para proteger la privacidad y los datos personales que fluyen entre las diferentes economías miembros de APEC. Las organizaciones desarrollan reglas internas de negocio respecto de los procedimientos de flujo transfronterizo de datos personales y su procedimiento es certificado y autorizado por un Agente Certificador (Accountability Agent), para proteger los datos personales en transferencias internacionales entre las economías de APEC.

Use el Escudo de la Privacidad EU – EE.UU (EU-US Privacy Shield) como mecanismo de transferencia de datos

En la resolución No. C-362/14 Maximilian Schrems v. Data Protection Commissioner, la Corte de Justicia de la Unión Europea determinó que el Arreglo de Puerto Seguro entre EE.UU y la UE es inválido. El 2 de febrero de 2016, la Comisión Europea emitió un comunicado de prensa  en el cual informa que la Comisión y los EE.UU habían acordado un nuevo marco para los flujos trasatlánticos de datos personales denominado Escudo de la Privacidad EU – EE.UU (EU – US Privacy Shield). Este nuevo acuerdo reemplazará el marco del Arreglo de Puerto Seguro invalidado y proporcionará obligaciones más robustas a las compañías en los EE.UU para la protección de los datos personales de Europeos y otorga mayores facultades de monitoreo y aplicación de la ley al Departamento de Comercio y a la Comisión Federal de Comercio (FTC) de los EE.UU.

Los detalles del nuevo acuerdo aún no se han hecho públicos. Hasta entonces, las organizaciones deben continuar evaluando cuáles transferencias de datos actualmente se llevan a cabo con base en el marco del Arreglo de Puerto Seguro y considerar alguna de las siguientes alternativas:

  • Usar mecanismos de transferencia con base en Normas Corporativas Vinculantes;
  • Usar contratos como mecanismo de transferencia de datos (p.ej. cláusulas contractuales estándar);
  • Usar la autorización de la Autoridad de Protección de Datos como mecanismo de transferencia de datos; o
  • Usar la adecuación de terceros países o una de las medidas alternativas (ej. consentimiento, ejecución de contrato, interés público), como mecanismo de transferencia

Use las aprobaciones de las autoridades de protección de datos como mecanismo de transferencia de datos

La organización busca llevar a cabo una transferencia internacional de datos personales; sin embargo, otros mecanismos de transferencias tales como las Normas Corporativas Vinculantes (NCV), cláusulas contractuales estándar, Privacy Shield, u otros pueden no estar disponibles para la organización. En esos casos, la organización puede obtener una aprobación o declaración de conformidad de una autoridad de protección de datos personales para legitimar la transferencia. En algunos casos, por ejemplo para ciertos tipos de datos tales como los datos biométricos, la autorización de la APD puede requerirse siempre.

Use la adecuación de terceros países o una de las medidas alternativas (ej. consentimiento, ejecución de contrato, interés público), como mecanismo de transferencia

Cuando transfieren datos personales, las organizaciones se aseguran que quienes los reciben estén localizados en jurisdicciones que ofrezcan protecciones adecuados para dicha información. Si quien recibe los datos no está en una jurisdicción que ofrezca un nivel adecuado de protección, la organización puede transferir los datos siempre y cuando haga uso de alguna de las medidas alternativas o mecanismos legales (p. ej. Puerto Seguro, Escudo de la Privacidad, Normas Corporativas Vinculantes), o si la circunstancias de la transferencia se encaja dentro de algunas de las excepciones según se disponga en las leyes locales.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.