NYMITY GLOBAL    |    LOGIN CLIENTES   Login    |    CONTACTO    |    PRUEBA GRATUITA

CATEGORÍA DE GESTIÓN DE DATOS

12. Monitoree las prácticas de manejo de datos

Verifique que las prácticas operacionales cumplan con la política de protección de datos y las políticas y procedimientos operacionales, y mida y genere reportes sobre su efectividad

CATEGORÍA DE GESTIÓN DE DATOS:

12. Monitoree las prácticas de manejo de datos

Verifique que las prácticas operacionales cumplan con la política de protección de datos y las políticas y procedimientos operacionales, y mida y genere reportes sobre su efectividad

Este proceso de gestión de datos es parte del Marco Nymity de Gobernanza en Privacidad y Protección de Datos. Haga clic en una de las Actividades de Gestión de Información que se encuentran en la parte de abajo y encuentre más información sobre el alcance, los recursos disponibles y otros detalles.

Lleve a cabo autoevaluaciones de gestión de datos personales

El Área de Protección de Datos cuenta con un procedimiento para evaluar las prácticas de protección de datos de cada unidad de negocio (por ejemplo, ventas y marketing) con el fin de mejorar las políticas y las prácticas empresariales relacionadas. El procedimiento incluye autoevaluaciones de los dueños de las unidades de negocio sobre el desempeño de la organización con relación a las expectativas fijadas por el Área de Protección de Datos con el fin de determinar los posibles vacíos que requieren medidas correctivas. Los dueños de las unidades de negocio pueden utilizar el Scorecard Nymity de Protección de Datos para llevar a cabo las autoevaluaciones.

Fuera de alcance están las evaluaciones ad hoc que surgen de la ocurrencia de un evento relacionado con protección de datos, una auditoría o evaluación procedente del Área de Protección de Datos (por ejemplo, por el departamento de auditoría) o una evaluación de terceros.

Lleve a cabo auditorías internas del programa de protección de datos (ej. auditoría operativa del Área de Protección de Datos)

La auditoría interna evalúa regularmente que la organización cumple con las políticas internas de protección de datos y con los requisitos legales aplicables. Los resultados de estas auditorías y evaluaciones informan y guían las decisiones del Área de Protección de Datos para crear o actualizar las políticas, diseñar o adaptar procedimientos, llevar a cabo entrenamientos o participar de otras actividades para asegurar el cumplimiento con los requisitos internos o externos sobre protección de datos. El alcance de esta actividad de gestión de protección de datos abarcará el papel que juega el Área de Protección de Datos en la coordinación, petición y respuesta a las auditorías de protección de datos llevadas a cabo por la auditoría interna. El documento también discute el acercamiento de la auditoría interna a la realización de auditorías de protección de datos dentro de la organización y cómo esto ayuda al Área de Protección de Datos a alcanzar sus respectivas metas y objetivos.

Fuera de alcance:

  • Las auditorías o evaluaciones realizadas por el Área de Protección de Datos;
  • Las auditorías o evaluaciones realizadas por grupos externos (por ejemplo, la firma de auditores, bufete de abogados, etc.), y
  • Las evaluaciones internas realizadas por alguien diferente a la auditoría interna (por ejemplo, gestión de riesgos, seguridad de la información).

Lleve a cabo revisiones frecuentes e integrales de los procedimientos

El área de protección de datos tiene procedimientos para realizar evaluaciones sobre el cumplimiento de la unidad de negocio con las políticas de protección de datos de manera periódica, pero de forma no anunciada.

Fuera de alcance de esta actividad están las evaluaciones que se originan fuera del área de protección de datos (ej., por el departamento de auditoría) o una evaluación de terceros, así como las autoevaluaciones conducidas internamente por las unidades de negocio.

Lleve a cabo evaluaciones a la medida con base en eventos externos, tales como quejas o incidentes

Al dar seguimiento a los eventos en materia de protección de datos (p.ej. incidentes, quejas, brechas), el Oficial de Protección de Datos contará con políticas y procedimientos para llevar a cabo evaluaciones a la medida de la unidad de negocio, producto, servicios, sistema o proceso que se pudiera ver afectado, con el propósito de:

  • Evaluar el cumplimiento;
  • Determinar riesgos de protección de datos; e 
  • Identificar los vacíos que deben ser atendidos. 
Se excluye de este alance las evaluaciones originadas fuera del Área de Protección de Datos (p.ej. por el Área de Auditoría) o evaluaciones realizadas por terceros. 

Involucre a un tercero para llevar a cabo auditorías/evaluaciones

La organización solicita regularmente evaluaciones por medio de proveedores de servicios externos para validar el cumplimiento con las políticas de protección de datos internas y con los requisitos legales aplicables. Los resultados de estas evaluaciones informan y guían las decisiones del área de protección de datos para crear o actualizar las políticas, diseñar o adaptar los procedimientos, realizar capacitaciones o participar en otras actividades para garantizar el cumplimiento con los requisitos internos o externos de protección de datos.

El alcance de esta actividad de gestión de información abarcará el papel del área de protección de datos en la coordinación, petición y respuesta a las auditorías y evaluaciones de protección de datos llevadas a cabo por un accountability agent o un tercero tal como una firma CPA, un consultor en protección de datos, una firma legal, o un especialista en seguridad. El documento también discute acercamientos utilizados por terceros para realizar evaluaciones de protección de datos y cómo esos acercamientos ayudan al área de protección de datos a alcanzar sus metas y objetivos de protección de datos.

Fuera del alcance: Las auditorías internas o las evaluaciones realizadas por el área de protección de datos, auditorías internas u otros grupos internos tales como gestión del riesgo o seguridad de la información.

Monitoree y reporte las mediciones del programa de protección de datos

La organización crea, analiza y reporta las mediciones de desempeño en relación con la gestión de información para:

  • Evaluar la eficacia y efectividad del programa de protección de datos en relación con el cumplimiento de sus objetivos; y
  • Aumentar la responsabilidad de las actividades e inversión de recursos del área de protección de datos (ej., tiempo y dinero).
Las mediciones son utilizadas para facilitar la toma de decisiones y guiar las inversiones realizadas por la Gerencia y el Área de Protección de Datos.

Fuera de alcance de esta actividad de gestión de información está la medición de los datos de:
  • Evaluaciones de impacto de privacidad;
  • Quejas de protección de datos; y
  • El programa de incidentes de seguridad.

Mantenga documentación como evidencia para probar el cumplimiento legal y/o la responsabilidad demostrada (accountability)

Al recopilar y mantener documentación actualizada para que la organización pueda reflejar el estado de su programa de protección de datos, dicha organización estará lista para demostrar a la Autoridad de Protección de Datos la forma en que cumple con las leyes de protección de datos, así como para demostrar la forma en la que ha asignado responsabilidad para el adecuado funcionamiento del programa. Esta documentación también sirve como evidencia cuando se solicitan marcas o sellos de confianza, Normas Corporativas Vinculantes, certificaciones y participaciones en programas de auto-regulación, etc. Cuando del análisis de la documentación se desprenden fallas en el programa de protección de datos o simplemente no existe documentación que analizar, esta falta de evidencia puede ser utilizada por las personas con capacidad de decisión para justificar los recursos necesarios e identificar las prioridades y objetivos en materia de protección de datos.

Marco Nymity de Gobernanza en Privacidad y Protección de Datos

130+ Actividades de Gestión de Información, estructuradas en Categorías de Gestión de Datos

El Marco es un listado completo de más de 130 actividades de gestión de información, neutral en materia de jurisdicciones y de categorías de industria, agrupadas en 13 Categorías de Gestión de Datos. El Marco forma la base para estructurar un programa integral de protección de datos personales en cualquier organización al ser neutral en términos de jurisdicción e industria.

Haga clic aquí para descargar la lista completa de Actividades de Gestión de la Información o para obtener más información del Marco Nymity de Gobernanza en Privacidad y Protección de Datos.

© 2002-2017 Nymity Inc. All Rights Reserved.