NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

10. Monitoree las nuevas prácticas operacionales

Monitoree las prácticas operacionales para identificar nuevos procesos o cambios materiales en los procesos existentes y garantice la implementación de los principios de Privacy by Design (Privacidad por Diseño)

CATEGORÍA DE GESTIÓN DE DATOS:

10. Monitoree las nuevas prácticas operacionales

Monitoree las prácticas operacionales para identificar nuevos procesos o cambios materiales en los procesos existentes y garantice la implementación de los principios de Privacy by Design (Privacidad por Diseño)

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Integre la Privacidad por Diseño en el desarrollo de sistemas y productos

Las autoridades de protección de datos solicitan, cada vez con más frecuencia que se incorporen modelos de “Privacidad por Diseño” y protección de datos por defecto o predeterminados en los procesos operativos. De hecho, estos conceptos han comenzado a aparecer en textos legislativos sobre protección de datos. 

Generalmente las organizaciones diseñan marcos de cumplimiento para ayudarle a los ingenieros, analistas de TI, arquitectos de sistemas y desarrolladores de aplicaciones a incorporar mecanismos de protección de datos personales en el diseño inicial de los sistemas y productos. El Oficial de Protección de Datos también trabaja con otras unidades operativas (p.ej. Marketing) para integrar la protección de datos por defecto en los programas de las diferentes unidades.



Mantenga guías y formatos para las Evaluaciones de Impacto de Privacidad (PIAs por sus siglas en inglés) y las Evaluaciones de Impacto de Protección de Datos (EIPDs)

Las organizaciones mantienen guías y formatos que detallan cómo realizar las Evaluaciones de Impacto de Privacidad (“PIAs" por sus siglas en inglés) para los programas, sistemas y procesos garantizando la consistencia en la forma como se miden y se analizan los riesgos de protección de datos. Estas PIAs deberán:

  • Analizar cómo los sistemas y procesos recolectan, usan, comparten y mantienen los datos personales para garantizar el cumplimiento con las leyes y las políticas de protección de datos pertinentes; y
  • Determinar los riesgos relativos a los datos personales inherentes al programa/sistema/proceso.
Fuera de alcance de esta actividad de gestión de información está el uso real de estas guías y formatos para realizar un PIA.

Lleve a cabo PIAs/EIPDs para nuevos programas, sistemas y procesos

Las organizaciones tienen políticas para determinar cuándo las evaluaciones de impacto de privacidad (“PIA”) se requieren como parte del proceso de desarrollo de nuevos programas, sistemas y procesos para asegurar que se cumple con las obligaciones de protección de datos. El proceso para determinar si se requiere un PIA a veces se llama “Análisis del Umbral de Protección de Datos” o “Evaluación del Umbral de Protección de Datos”. Fuera de alcance de esta actividad de gestión de información está el evaluar protecciones y procesos alternativos para atenuar esos riesgos de protección de datos.

Lleve a cabo PIAs/EIPDs cuando haga cambios a los programas, sistemas o procesos existentes

La organización debe tener políticas y procedimientos para seguir cuando las diferentes unidades operacionales propongan cambios a sus programas, sistemas o procesos, con el propósito de asegurar que se han considerado, analizado y ponderado los riesgos en materia de protección de datos personales, así como las alternativas de seguridad sobre protección de datos personales.

Este proceso también puede sustentarse sobre los principios de Privacidad por Rediseño para asegurar que se han considerado en todos los puntos de desarrollo del programa, sistema o proceso la privacidad/protección de datos.
Queda fuera del alcance de esta Actividad de Gestión de Información “Llevar a cabo Evaluaciones de Impacto de Privacidad (PIAs por sus siglas en inglés) o Evaluaciones de Impacto de Protección de Datos (EIPDs) para nuevos programas, sistemas y procesos”, así como la “creación de guías y formatos para las evaluaciones de dichos PIAs/EIPDs”.

Involucre a los interesados externos (ej. individuos, activistas de protección de datos) como parte del proceso de PIA/EIPD

El objetivo de las Evaluaciones de Impacto de Privacidad (PIA por sus siglas en inglés) o Evaluaciones de Impacto de Protección de Datos (EIPD) es determinar los riesgos de protección de datos inherentes a los programas de negocio, sistemas o procesos nuevos o existentes y así evaluar si el riesgo será aceptado o se implementarán las medidas de mitigación necesarias.

Como parte de este proceso, los interesados externos tales como individuos que pudieran verse afectados con el programa (p.ej. clientes, empleados), Autoridades de Protección de Datos (APD), sindicatos, consejos empresariales, activistas de protección de datos y activistas en temas de protección al consumidor, etc., pueden tener una perspectiva única de la forma de ver el riesgo como un problema que requiere medidas de mitigación inmediatas, contra aquellos riesgos que pudieran considerarse más aceptables en relación con la población relevante. Obtener la opinión de estos interesados externos en relación con el programa que se desarrolla puede proteger a la organización de algún problema cuando el programa eventualmente sea desplegado.

Queda fuera de esta Actividad de Gestión de Información (AGI): Las AGI asociadas con llevar a cabo un PIA/EIPD actual y mantener guías y formatos del PIA/EIPD.   

Monitoree y tome medidas para enfrentar problemas de protección de datos detectados durante las PIAs/EIPDs

Las Evaluaciones de Impacto de Privacidad (PIAs por sus siglas en inglés) o Evaluaciones de Impacto de Protección de Datos (EIPDs) tienen que generar información para ser agregada a los siguientes pasos del plan de proyecto. Dichos procedimientos se deben llevar a cabo para:

  • Evaluar los problemas identificados en el PIA/ EIPD;
  • Evaluar posibles medidas de protección y procesos alternativos para mitigar los riesgos de protección de datos identificados; y
  • Dar seguimiento a los procesos en donde la medida de mitigación se ha implementado.
Este procedimiento asegura que la organización trata aspectos de protección de datos en forma consistente y permite identificar el PIA/EIPD que deberá ser aplicado en subsiguientes PIAs/EIPD.

Reporte el análisis y los resultados del PIA/EIPD a la autoridad de protección de datos (en caso de ser requerido) y a los interesados externos (si resulta apropiado)

Cuando una Evaluación de Impacto de Privacidad (PIA por sus siglas en inglés) o Evaluaciones de Impacto de Protección de Datos (EIPD) indican que existen riesgos en la protección de datos que no pueden ser mitigados con medios razonables o puede tomar más tiempo del esperado, bajo algunas leyes de protección de datos puede ser prudente (a no ser que la ley lo requiera), reportar a la Autoridad de Protección de Datos (APD) o a los interesados externos (tales como clientes, organizaciones defensoras de la protección de datos, etc.) el PIA/EIPD, con el propósito de que dichos grupos estén informados de que se está atendiendo el riesgo en materia de protección de datos en forma previa al lanzamiento de un nuevo producto, programa, sistema, procesos o reubicación de los datos personales en una jurisdicción distinta.

Queda fuera del alcance de la presente Actividad de Gestión de Información (“AGI”) las AGIs asociadas con llevar a cabo y mantener procedimientos de PIAs.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.