NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

1. Mantenga una estructura de gobernanza

Asegúrese de que haya personas encargadas de protección de datos, responsabilidad de
directivos y procedimientos de reporte a la gerencia

CATEGORÍA DE GESTIÓN DE DATOS:

1. Mantenga una estructura de gobernanza

Asegúrese de que haya personas encargadas de protección de datos, responsabilidad de directivos y procedimientos de reporte a la gerencia

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Asigne responsabilidades en protección de datos personales a un individuo (ej. Oficial de Protección de Datos, Asesor de Protección de Datos, CPO)

Las organizaciones asignan la responsabilidad de los aspectos operativos de un programa de protección de datos a un individuo. Este individuo puede estar en una función específica de protección de datos, o puede ser parte de los departamentos jurídico, cumplimiento, TI, gestión/gobierno de la seguridad o de la información. La protección de datos puede ser el trabajo de tiempo completo del individuo (ej., Oficial de Protección de Datos) o puede ser un cargo adicional que se ha dado al individuo (ej., Oficial de  Cumplimiento).

Fuera de alcance en este AGI: El nombramiento de un Oficial de Protección de datos en un rol de supervisión independiente y el mantenimiento de las funciones del cargo para los individuos responsables de protección de datos.


Involucre a los Directivos en la gestión de protección de datos (ej. a la Junta Directiva o al Consejo Ejecutivo)

Las Organizaciones suelen hacer que alguien en el nivel superior, por ejemplo, Nivel C o la alta dirección, sea responsable de la protección de datos puesto que las acciones tangibles y visibles en un nivel alto hacen notoria la importancia del tema dentro de la organización.

Apoyo del alto nivel puede incluir:

  • Patrocinar un asunto del orden del día relacionado con la protección de datos en una reunión de junta directiva;
  • Comunicar la importancia de la protección de datos al personal de la organización y a los empleados;
  • Participar en iniciativas de protección de datos; y
  • Asegurar una financiación adecuada para apoyar la función de protección de datos.

Nombre un Oficial de Protección de Datos (OPD) independiente y con funciones de supervisión

En algunas jurisdicciones, las organizaciones están obligados a nombrar un oficial de protección de datos que sea un experto en la materia y que en consecuencia juegue un rol de consultoría y supervisión con relación a las actividades de tratamiento de datos. Estos OPDs funcionan con el apoyo (financiero, de recursos, etc.) de la organización pero actúan de manera independiente, de manera tal que pueden reportarles situaciones de incumplimiento de la ley a las autoridades de protección de datos sin sufrir consecuencias por parte de la organización.

Fuera de alcance de esta AGI: La asignación de responsabilidad por la implementación y el mantenimiento de un programa de protección de datos.

Asigne responsabilidades en materia de protección de datos a través de toda la organización (ej. Red de Protección de Datos)

El manejo de la protección de datos dentro de una organización requiere de la contribución y la participación de muchos miembros la misma. Los miembros del equipo de protección de datos pueden participar en diversos grupos de acción o jurisdicciones donde la organización actúa para facilitar la comprensión de los riesgos relacionados con la protección de datos para ese grupo de acción o jurisdicción. Las organizaciones pueden también considerar incluir funciones de protección de datos de fondo en diversos grupos operativos o crear una función más visible, más independiente, de protección de datos. La organización determina cómo organiza al equipo de protección de datos dentro de la misma, en vista de los diversos modelos de gobernanza junto con el lugar donde la protección de datos encaja en el organigrama de la empresa.

Fuera de alcance está la asignación de la responsabilidad de protección de datos en un nivel gerencial alto.

Mantenga roles y responsabilidades para las personas responsables de protección de datos (ej. descripción de puestos de trabajo)

Para ayudar a la organización a cumplir con su declaración de misión de protección de datos y sus obligaciones legales acerca del nombramiento de los oficiales de protección de datos, las personas responsables de protección de datos tienen roles y descripciones claras de sus funciones. Las funciones que pueden ser definidas incluyen:

  • Director de protección de datos;
  • Gerentes de protección de datos;
  • Oficiales de Protección de Datos;
  • Analistas de protección de datos;
  • Líderes de protección de datos/administradores por línea de negocio; y
  • Miembros del equipo de respuesta a incidentes.
Fuera del alcance de esta actividad de gestión de protección de datos está la determinación sectorial y regional de salarios y compensaciones.

Mantenga comunicaciones regulares entre el Área de Protección de Datos, la Red de Protección de Datos y otras personas responsables en la materia

Para ejecutar con eficacia la estrategia de protección de datos de la organización, los individuos que son responsables y están encargados de ésta se comunican regularmente entre sí para:

  • Entender las distintas perspectivas sobre la protección de datos en la organización;
  • Aprender sobre el uso de datos personales en contexto;
  • Ayudar de forma proactiva en la inclusión de la protección de datos en los proyectos en curso;
  • Ayudar a los individuos a alcanzar sus objetivos mientras que implementan la protección de datos; y
  • Impregnar a la organización con el modo de pensar relacionado con la protección de datos.
Fuera del ámbito de esta actividad de gestión de información están las discusiones ad hoc sobre los problemas de protección de datos que se presentan dentro de la organización.

Involucre en los asuntos de protección de datos a las partes interesadas dentro de la organización (ej. seguridad de la información, marketing, etc.)

Para abordar proactivamente los asuntos relacionados con protección de datos, así como para responder eficazmente a los problemas que son relevantes y afectan a las partes interesadas en la organización, el Área de Protección de Datos adelanta comunicaciones informales con los individuos cuyas responsabilidades pueden no incluir la protección de datos y participa en los comités para las unidades de negocio cuyas actividades pueden tener impacto sobre la protección de datos (por ejemplo, seguridad de la información, marketing, etc.).

Fuera del ámbito de la actividad de gestión de información están las discusiones formales (por ejemplo, reuniones mensuales) sobre problemas de protección de datos entre los individuos dentro de la organización que tienen injerencia (accountability o responsabilidad) sobre asuntos relacionados con protección de datos.

Reporte periódicamente a los stakeholders internos sobre el estado del programa de protección de datos (ej. Junta Directiva, Consejo de Administración)

El estado del programa de protección de datos se comunica internamente con cierta regularidad a la asamblea de accionistas, a la gerencia, a los ejecutivos senior y a la junta directiva. Estas comunicaciones alinean la función de protección de datos con los objetivos de la organización, centrándose en cómo la protección de datos apoya la base de la organización, así como destacando el estado del cumplimiento de los requisitos legales y reglamentarios junto con los principales riesgos de protección de datos, filtraciones de datos o acontecimientos importantes de protección de datos que deban ser conocidos por quienes toman las decisiones más importantes. Reportar acerca de la protección de la información personal es esencial para informar exacta, completa y eficientemente a quienes son responsables de supervisar y manejar el programa correspondiente para asegurarse de que la organización logra el cumplimiento y reduce los riesgos relacionados al procesamiento de datos.

Fuera de alcance está incluido el desarrollo y la implementación de las mediciones sobre las cuales se reporta.

Reporte periódicamente a los stakeholders externos sobre el estado del programa de protección de datos (ej. autoridades de protección de datos, terceros, clientes)

La conciencia externa sobre el estado del Programa de Protección de Datos de la organización genera confianza entre los clientes, proveedores, autoridades de protección de datos y el público en general. Tal conciencia puede lograrse a través de diversos métodos incluyendo:

  • informes generados por la organización;
  • publicación de las auditorías; o
  • verificación por terceros o evaluación de un accountability agent.
Fuera de alcance está el desarrollo e implementación real de las mediciones sobre las cuales se reportará.

Lleve a cabo una Evaluación Corporativa de Riesgo en materia de protección de datos

El alcance del programa de protección de datos está determinado por los desafíos de cumplimiento legal y reglamentario junto con los datos afectados. Para poder desarrollar una estrategia de protección de datos, la organización debe:

  1. Entender los desafíos del cumplimiento en protección de datos con respecto a leyes relevantes, cultura, lenguaje y métodos del negocio;
  2. Identificar las áreas en donde es probable que los datos personales sean recolectados, tratados o utilizados junto con cualquier ley que se aplique a ese tipo particular o manejo de datos personales; y
  3. Determinar con base en estos riesgos de protección de datos, qué prioridades al respecto se alinean con las metas generales de la organización.
El Área de protección de datos tiene un procedimiento para realizar una evaluación del riesgo de protección de datos organizacional a lo largo de las unidades de negocio (incluyendo recursos humanos, ventas, marketing y desarrollo de productos). La evaluación de los riesgos de protección de datos es un requisito previo para el desarrollo adicional de un programa organizacional de protección de datos, en el cual el Área de protección de datos crea y supervisa las autoevaluaciones individuales sobre protección de datos y seguridad de la unidad de negocio, estudios del proceso de negocio, mejoras del proceso, comunicaciones y entrenamiento. El proceso de evaluación de riesgos permite al Área de Protección de Datos identificar y dar prioridad a los vacíos en ésta y en el área de seguridad a lo largo de la organización y manejar el programa de protección de datos para la mitigación del riesgo, el cumplimiento y aumentar la reputación de la marca y la credibilidad del cliente.

Fuera del alcance de esta actividad están las evaluaciones de protección de riesgo que son llevadas a cabo por terceros en respuesta a un incidente de seguridad en materia de datos personales, o una auditoría conducida por las unidades de negocio de cumplimiento interno (es decir, auditoría interna de finanzas, ética u otra unidad de cumplimiento normativo).

Integre la protección de datos en las evaluaciones y reportes de gestión de riesgos del negocio

Las organizaciones realizan evaluaciones de riesgos del negocio para identificar y evaluar los factores que pueden comprometer el éxito de las unidades de negocio. Con la ayuda del Área de Protección de Datos, las líneas de negocio que realizan estas evaluaciones de riesgos consideran los riesgos de  protección de datos como un elemento que afecta a los esfuerzos de negocio de la organización.

Esta actividad de gestión de información solamente se preocupa sobre cómo pueden ser evaluados los riesgos de protección de datos. No tiene en cuenta todos los métodos para revisar riesgos y mitigar los controles, ni enumera todos los riesgos que se presentarán en una evaluación de riesgos del negocio.

La Oficina Norteamericana del Contralor de la Moneda (OCC) y la Reserva Federal de los Estados Unidos citan las siguientes categorías de riesgo1, siendo las últimas cuatro las más útiles:  

  1. Riesgo de crédito (como resultado de la potencial falta de pago del préstamo)
  2. Riesgo de mercado (como resultado de movimientos adversos del mercado - tasas de interés, tasas de cambio, etc.)
  3. Riesgo de liquidez (incapacidad para liquidar los activos para cumplir con las obligaciones)
  4. Riesgo operativo (sistemas y prácticas inadecuadas generan pérdidas)
  5. Riesgo legal (interrupciones causadas por juicios legales negativos o contratos que no se pueden hacer cumplir)
  6. Riesgo de Reputación (a veces llamado Riesgo de Marca en el mercado -- cuando los comentarios negativos afectan la capacidad de ejecución)
  7. Riesgo estratégico (riesgo de tomar malas decisiones)
Las amenazas que enfrenta una organización abarcan categorías amplias tales como amenazas físicas como las interrupciones relacionadas con el clima, errores o mala gestión humana, fallas de los sistemas técnicos, o ataques intencionados. Las amenazas a la confidencialidad e integridad apropiadas de los datos se encuentran en cada una de estas categorías. Del mismo modo, están los riesgos de seguridad, los riesgos financieros y los riesgos operativos del negocio en general.  Para dar prioridad al uso de los recursos de la organización, los ejecutivos necesitarán tener una evaluación integrada del riesgo de negocio.






1 Apéndice B) CC-CH-BSEB – Supervisión Bancaria Comunal, Supervisión Bancaria y proceso de examen, Manual del Contralor, http://www.occ.gov/publications/publications-by-type/comptrollers-handbook/cbs.pdf.

Mantenga una Estrategia de Protección de Datos

Con base en la Evaluación de Riesgos de Datos Personales, con la estrategia de protección de datos de la organización se podrá lograr:

  • Reflejar la naturaleza de la organización y su misión;
  • Desarrollar una visión del programa de protección de datos de la organización;
  • Definir el alcance del programa de protección de datos; y
  • Detallar las estrategias para lograr las prioridades de protección de datos de la organización.
A continuación se muestra lo que queda fuera del alcance de esta Actividad de Gestión de Información:
  • La asignación de responsabilidades para la protección de datos;
  • La asignación de responsabilidad demostrada sobre protección de datos (Accountability) a un nivel de mayor jerarquía; y
  • La creación de la descripción del puesto de trabajo para el Oficial de Protección de Datos.

Mantenga una misión/visión del programa de protección de datos

La declaración de misión/visión del programa de protección de datos de la organización es una declaración sobre la visión que la organización tiene sobre la protección de datos, con la cual se sientan las bases para los diferentes elementos del programa de protección de datos. En general, la declaración de misión: 

  • Enfatiza el valor que la organización pone en la protección de datos;
  • Identifica los objetivos clave del programa de protección de datos; y
  • Detalla las diferentes estrategias a un alto nivel para lograr los objetivos planteados. 
Queda fuera del alcance de esta Actividad de Gestión de Información el desarrollo de una estrategia de protección de datos, en el cual se documentan los objetivos, el alcance y los resultados del programa de protección de datos. 

Exija que los empleados reconozcan y se adhieran a las políticas de protección de datos

Las pautas éticas pueden ser mantenidas por un cargo independiente que gire en torno a la ética o atado al trabajo de Protección de Datos, Recursos Humanos o cumplimiento. Estas pautas establecen la responsabilidad para que los empleados hagan lo correcto dentro de la organización. Los problemas de protección de datos, es decir, el hecho que la gente haga lo correcto con los datos personales, deben ser incorporados en las pautas éticas, incluyendo procedimientos para responder, resolver y documentar situaciones donde un empleado invade los datos personales de otro individuo. 

Fuera de alcance están las pautas éticas sobre asuntos diferentes a la protección de datos.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.