Estudio sobre Responsabilidad Demostrada (Accountability) Maximice la efectividad de su programa de protección de datos con base en los recursos disponibles La aproximación de Nymity para alcanzar estándares de Responsabilidad Demostrada Maximice la efectividad de su programa de protección de datos con base en los recursos disponibles Estado Identificar el estado de su programa de protección de datos Identificar los recursos disponibles Mantener actividades de protección de datos ¿No sabe dónde empezar? Recursos Bajos Política Primero Recursos Altos Recursos Medios Gobernanza Primero Política Primero Inventario Primero Gobernanza Primero Política Primero Identificar a los dueños Plan Pla Pl Cumplimiento legal y regulatorio Estrategia Gerenciada de Protecció de Datos Protección Estrategia Avanzada de Protecció de Datos Protección Sólo se implementan los elementos fundamentales del programa de protección de datos Se incorpora más activamente la protección de datos a otras unidades operacionales (tales como Talento Humano, Marketing, Unidades de Negocio) Gestión de riesgos de protección de datos Alineación con objetivos organizacionales Perfil de recursos Estrategia de Cumplimiento Legal y Responsabilidad Dem Demostrada (Accountability) La organización se encuentra preparada para (i) probar que ha implementado un estándar de responsabilidad demostrada (accountability), (ii) puede acreditar su cumplimiento legal y regulatorio y (iii) está en capacidad de producir los soportes documentales Una guía para el Oficial de Protección de Datos para alcanzar los más altos niveles de responsabilidad demostrada posibles (accountability) con base en los recursos disponibles VERSIÓN 1.0 - 18 DE SEPTIEMBRE DE 2015 © Nymity Inc. 2015. Este documento está basado en la investigación de Nymity. El contenido de este documento se pone a disposición únicamente para propósitos educativos y no tiene la intención de ser ni constituye consultoría legal. Adicionalmente, la aplicación de las aproximaciones a la gestión de datos personales que se presentan en este documento no constituye garantía de cumplimiento. Si usted requiere asesoría legal, debe consultar con un abogado. Nymity se reserva todos los derechos sobre este documento, incluyendo el derecho de autor y cualquier otro derecho de propiedad intelectual. Usted puede utilizar este documento para sus propios propósitos. Este documento puede ser libremente redistribuido en su totalidad, siempre y cuando las marcas, logos y la indicación del derecho de autor de Nymity no sean retirados. Este documento no puede ser vendido con fines de lucro ni usado en documentos comerciales sin la autorización por escrito de Nymity. Contenido 1. Introducción .......................................................................................................................................................3 2. Fundamentos de la Responsabilidad Demostrada (Accountability)...................................................................3 A. Definiciones de Responsabilidad Demostrada (Accountability).....................................................................3 B. Expectativas de las Autoridades de Protección de Datos frente a la Responsabilidad Demostrada (Accountability) ......................................................................................................................................................4 C. La investigación de Nymity sobre Responsabilidad Demostrada (Accountability) ........................................7 1. Responsabilidad ..............................................................................................................................................7 2. Control ............................................................................................................................................................8 3. Evidencia .........................................................................................................................................................8 3. La aproximación de Nymity para alcanzar estándares de Responsabilidad Demostrada ..................................9 A. Estatus inicial de la gestión de información personal en la organización ................................................... 11 Identificación de recursos disponibles ............................................................................................................ 13 B. Principios para seleccionar las Actividades de Gestión de Información ..................................................... 14 1. Identifique su perfil de recursos.............................................................................................................. 15 2. Tenga en cuenta los requisitos legales, regulatorios y de cumplimiento ............................................... 16 3. Priorice con base en el nivel de riesgo .................................................................................................... 19 4. Priorice basado en los objetivos de la organización................................................................................ 19 5. Priorice basado en su nivel de recursos .................................................................................................. 19 C. D. Tres estrategias de Gestión de un Programa de Protección de Datos ........................................................ 20 1. Estrategia Gerenciada de Protección de Datos Personales..................................................................... 21 2. Estrategia Avanzada de Protección de Datos Personales ....................................................................... 33 3. Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability).............................. 35 Tres formas de empezar .............................................................................................................................. 40 Política Primero– Recursos bajos .................................................................................................................... 43 Gobernanza Primero– Recursos medios ......................................................................................................... 47 Inventario primero – Recursos Altos ............................................................................................................... 49 Apéndice I – Riesgos de Protección de Datos ..................................................................................................... 52 1. Introducción La discusión sobre Responsabilidad Demostrada (accountability) alrededor del mundo se ha vuelto prevalente en los últimos años. Por una parte, las autoridades de protección de datos personales de muchos países están publicando guías sobre qué significa demostrar la responsabilidad 1. Además, los requerimientos para demostrar la responsabilidad están siendo incluidos por legisladores y reguladores en leyes y reglamentos 2. Actualmente hay muchos tipos de guías (tal y como se discute más adelante) sobre qué significa demostrar la responsabilidad, pero este documento está diseñado para ayudarle al Área de Protección de Datos 3 de la empresa a llegar a ese punto: maximizar la efectividad del programa de protección de datos personales para poder alcanzar el nivel más alto posible de responsabilidad demostrada. Bien sea que el Área de Protección de Datos de la empresa haya implementado un programa maduro en su organización o que esté empezando desde ceros, este estudio le ayudará a maximizar la efectividad del programa de protección de datos basándose en los recursos disponibles en la organización y adicionalmente le servirá para justificar las inversiones adicionales que sean necesarias para implementar el programa o para mejorarlo. 2. Fundamentos de la Responsabilidad Demostrada (Accountability) A. Definiciones de Responsabilidad Demostrada (Accountability) En un contexto general, responsabilidad demostrada puede definirse como: “una obligación o disposición a responder por las acciones propias 4” y “la obligación de un individuo o de una organización de rendir cuentas sobre sus actividades, aceptar responsabilidad sobre ellas y divulgar los resultados de manera transparente” 5. Aun cuando el término accountability no tiene una traducción sencilla al español, en la mayoría de los 1 Las autoridades de protección de datos de Canadá, Hong Kong, Australia, Colombia y Francia han publicado guías sobre qué significa implementar estándares de responsabilidad demostrada. Estos documentos se discuten más adelante en esta sección. 2 Algunos países entre los que se incluyen Australia, Colombia, Finlandia, Hong Kong, Islandia, el Reino Unido y la Unión Europea ya requieren o promueven la demostración de la responsabilidad ante las Autoridades de Protección Datos bien sea mediante legislación o a través de programas regulatorios. La propuesta de Reglamento de la UE incluye un requerimiento para que las compañías se encuentren en capacidad de demostrar su responsabilidad y el cumplimiento de las normas legales a las Autoridades de Protección de Datos a su solicitud; para las compañías que cuentan con Normas Corporativas Vinculantes (NCV o BCR por sus siglas en inglés) esto ya es una obligación. En Canadá, la anterior Comisionada Federal de Privacidad, solicitó una enmienda a la ley federal de protección de datos para que las compañías tuvieran la obligación de demostrar su responsabilidad ante un requerimiento de la autoridad. En Estados Unidos, el Bill of Rights de Protección de Datos propuesto por la administración del presidente Obama en febrero de 2012 contiene un principio de Responsabilidad Demostrada y el requerimiento de que sea demostrable. Por su parte el marco de Puerto Seguro (Safe Harbor) entre EE.UU y la UE requiere que las organizaciones implementen procedimientos para verificar los compromisos asumidos por las organizaciones y proveer acceso a sus registros históricos cuando medie un requerimiento de las autoridades respectivas. 3 Para efectos de este estudio se asume que la organización ha asignado responsabilidad para temas de protección de datos a una o más personas. Si se trata de una sola persona, se hará referencia al Oficial de Protección de Datos; si se trata de un grupo de personas, serán referidos como el Área de Protección de Datos. 4 Tomado de la definición de accountability en http://www.merriam-webster.com/dictionary/accountability 5 Tomado de la definición de accountability en http://www.businessdictionary.com/definition/accountability.html 3 contextos se entiende que incluye la asignación de responsabilidad y la capacidad de reportar sobre las actividades propias. Históricamente, en el contexto de la protección de datos, la responsabilidad demostrada hacía referencia a la transferencia de información (las organizaciones que recolectan información personal de los titulares mantienen una responsabilidad cuando los datos se transfieren a terceros). Apareció como un derecho fundamental en materia de protección de datos desde 1980 en las Guías para la Protección de la Privacidad y los Flujos Transfronterizos de Información de la Organización para la Cooperación y el Desarrollo Económico (OCDE) y esencialmente hacía referencia a que la organización mantenía la responsabilidad por la protección de la información personal independientemente del lugar de almacenamiento de los datos y de a quién se hubieran transferido o entregado. En 2009, el Center for Information Policy Leadership, un think-tank global sobre protección de datos personales y seguridad de la información, lanzó un Proyecto de Accountability 6 con el propósito de definir los elementos esenciales de la Responsabilidad Demostrada y considerar cómo podría funcionar en la práctica una aproximación en este sentido a la protección de la información personal. Esta iniciativa se encuentra ahora en su quinta fase y se enfoca en el elemento de riesgo. En 2010, el Grupo de Trabajo del Artículo 29 en la Unión Europea emitió una opinión sobre el principio de Responsabilidad Demostrada. En ella, hizo una propuesta concreta para que se añadiera este principio al marco legal existente para que los responsables del tratamiento “implementaran medidas apropiadas y efectivas para asegurar que los principios y las obligaciones establecidas en la Directiva fueran cumplidas y que eso se demostrara a las Autoridades a solicitud de estas”. Adicionalmente, describe la responsabilidad demostrada como “mostrar cómo se ejerce la responsabilidad y hacer esto verificable” 7. Si nos adelantamos al año 2015, el concepto ahora incluye también todo aquello que las autoridades de protección de datos esperan de las organizaciones responsables y, cada vez más, las leyes de protección de datos 8 están incluyendo el término como un elemento de cumplimiento normativo. B. Expectativas de las Autoridades de Protección de Datos frente a la Responsabilidad Demostrada (Accountability) Muchas Autoridades de Protección de Datos (en adelante también “APD”) han publicado guías sobre sus expectativas con relación al manejo responsable de los programas de protección de datos personales. Está claro que el concepto de responsabilidad demostrada ha evolucionado más allá del simple cumplimiento 6 7 8 www.informationpolicycentre.com/accountability-based_privacy_governance Grupo de Trabajo del Artículo 29 (2010). Opinión 3/2010 sobre el Principio de Responsabilidad. Bélgica. Por ejemplo, en la versión actual de la propuesta de Reglamento de la UE, artículo 22.1, (relacionado con las obligaciones del Responsable), se prevé lo siguiente: “teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como la probabilidad y gravedad del riesgo para los derechos y las garantías de los individuos, el responsable deberá adoptar las medidas apropiadas y estar en capacidad de demostrar que el tratamiento de los datos personales se está llevando a cabo de conformidad con este reglamento”. 4 normativo y ahora incluye la implementación de un programa efectivo de protección de datos personales para asegurar la posibilidad de que se demuestre, a petición de la APD, que existe un cumplimiento demostrable y permanente. En la tabla siguiente se incluye un resumen de esas guías regulatorias. Autoridad Australia Documento Guía Marco de Gestión de Privacidad: Facilitando el Cumplimiento y Asegurando las Buenas Prácticas 9 2015 Canadá Colombia Entendiendo la Responsabilidad Demostrada con un Programa de Protección de Datos 10 2012 Guía para la Implementación del Principio de Responsabilidad Demostrada 11 2015 Descripción La Oficina del Comisionado Australiano de Información (OAIC) lanzó un marco de gestión de privacidad y protección de datos para ayudarle a las organizaciones del sector público y del sector privado a alcanzar sus obligaciones de cumplimiento normativo e instaurar una cultura de respeto de la información personal. El Marco de Gestión es una guía práctica sobre cómo establecer y mantener un programa de protección de datos, incluyendo una aproximación de cuatro pasos que le ayuda a las organizaciones a proteger la información personal y mejorar sus procesos. La Oficina del Comisionado de Privacidad de Canadá (OPC), y las Oficinas de Información y Privacidad de Alberta y Columbia Británica trabajaron de manera conjunta para desarrollar este documento con el ánimo de proveer una guía consistente sobre qué significa ser una organización responsable. La Superintendencia de Industria y Comercio en Colombia lanzó la Guía para la Implementación del Principio de Responsabilidad Demostrada que le permitirá a los individuos y a las compañías crear un programa integral de protección de datos personales. La Guía hace un llamado a las organizaciones para que produzcan documentación que evidencie la implementación de estándares de responsabilidad demostrada en caso de que sea requerida por las autoridades. El documento tiene definiciones claras, beneficios concretos para las organizaciones responsables y una relación de mejores prácticas para implementar de manera efectiva un programa integral de protección de datos personales. Entre estas mejores prácticas se incluyen: (i) la necesidad de contar con apoyo de las altas directivas, (ii) las actividades detalladas que adelanta el Área de Protección de Datos, (iii) controles al programa, (iv) sistemas de gestión de riesgo, (v) capacitación y entrenamiento, (vi) manejo de incidentes, (vii) comunicaciones externas y (viii) evaluaciones y revisión continua. 9 http://www.oaic.gov.au/privacy/privacy-resources/privacy-guides/privacy-management-framework https://www.priv.gc.ca/information/guide/2012/gl_acc_201204_e.pdf 11 http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf 10 5 Autoridad Supervisor Europeo de Protección de Datos (EDPS) Documento Guía Estrategia del EDPS: Liderando mediante Ejemplo 12 2015 Francia Procedimiento de Gobernanza para solicitud de formato de Sello 13 2015 Hong Kong Programa de Gestión de Privacidad, Una guía de mejores prácticas 14 2014 Descripción El Supervisor, Giovanni Buttarelli, y el Supervisor Asistente, Wojciech Wiewiórowski, fueron nombrados en diciembre de 2014 y en 2015 lanzaron el documento de estrategia “Liderando mediante Ejemplo”. La estrategia plantea la expectativa de que “las entidades de la UE, incluyendo al EDPS, deben ser plenamente responsables por la forma como procesan información personal, porque para demostrar un liderazgo ejemplar, debemos estar más allá de cualquier reproche posible”. El 13 de enero de 2015, la APD de Francia (CNIL) publicó un estándar de responsabilidad demostrada. Está dividido en 25 requerimientos relacionados con la existencia tanto de una política interna de protección de datos como de un aviso de privacidad dirigido al público así como con el nombramiento de un Oficial de Protección de Datos. Las compañías que demuestren que cumplen con el nuevo estándar podrán optar por un “sello de accountability” de la CNIL. La Oficina del Comisionado de Privacidad de Hong Kong (PCPD) emitió una Guía de Mejores Prácticas para Implementar un Programa de Protección de Datos (PPD). Además de asegurar el cumplimiento normativo, un PPD demuestra que la organización se encuentra comprometida con el buen gobierno corporativo y lleva a crear relaciones con los clientes, los empleados, los accionistas y las autoridades basadas en la confianza. Tabla 1: Lista parcial de expectativas de las Autoridades de Protección de Datos en sus respectivas guías sobre responsabilidad demostrada Las Autoridades de Protección de Datos generalmente reconocen que la gestión de datos personales no se puede estandarizar y que cada organización debe “confeccionar el traje a su medida” 15 teniendo en cuenta su tamaño, la naturaleza de su negocio, y el tipo de información que está siendo tratada 16. Los documentos guías 12 https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Strategy/15-0226_Strategy_2015_2019_EN.pdf 13 http://www.cnil.fr/fileadmin/documents/Label/LabelsCNIL-gouvernance-Demande.rtf 14 https://www.pcpd.org.hk/pmp/files/PMP_guide_e.pdf 15 Ibídem 8, página 2: “Esta guía de mejores prácticas (la Guía) esboza lo que el Comisionado ha determinado son buenas aproximaciones para desarrollar un programa de protección de datos robusto, pero no es una aproximación que le sirva de manera directa a todas las organizaciones. Cada organización debe determinar, tomando en cuenta su tamaño y la naturaleza de su negocio, cuál es la mejor manera de aplicar esta Guía para desarrollar su propio programa de protección de datos personales”. (Traducción libre). 16 https://privacyassociation.org/news/a/colombia-issues-accountability-guidelines-hopes-for-a-trend/ El ex Superintendente Delegado para la Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC) en Colombia, José Alejandro Bermúdez, indicó que: “Las acciones deben ser ‘proporcionales’ a la naturaleza del responsable’. Así, cuando se diseña un programa de protección de datos personales, se debe tener en cuenta el tamaño de la organización, así como la naturaleza del información que está siendo tratada por el responsable; por ejemplo si [la información] es sensible, si hace referencia a datos de salud, si se transfiere internacionalmente y si está siendo tratada por un encargado en un proceso de tercerización”. 6 publicados por las diferentes APD que se relacionaron anteriormente describen qué elementos de un programa de protección de datos personales se deben implementar, pero generalmente no indican cuándo o dónde se debe empezar dadas las circunstancias particulares de presupuesto disponible de cada organización. La aproximación pragmática descrita en este estudio está pensada para guiar a las organizaciones de todos los tamaños para que maximicen su programa de protección de datos personales basándose en los recursos disponibles. C. La investigación de Nymity sobre Responsabilidad Demostrada (Accountability) En el año 2002 Nymity empezó su investigación sobre responsabilidad demostrada y desarrollo de soluciones para el Área de Protección de Datos. En 2009, empezamos a completar esta investigación con series de talleres prácticos alrededor del mundo, incluyendo a Autoridades de Protección de Datos, examinando qué se requiere para que una organización esté en capacidad de “demostrar” su responsabilidad (p. ej. internamente a sus directivos, a la junta directiva o externamente a una autoridad). Esta investigación dio lugar a una publicación denominada: A Privacy Officer’s Guide to Demonstrating Accountability. No proponemos una definición alternativa de responsabilidad demostrada. Por el contrario, Nymity se apalancó en las definiciones existentes y en las expectativas de las Autoridades de Protección de Datos para subdividir la responsabilidad demostrada en tres elementos: 1. Responsabilidad, 2. Control y 3. Evidencia. Cada uno de estos elementos es necesario para poder alcanzar un estándar de responsabilidad demostrada y en consecuencia eliminar o menoscabar uno de ellos resultaría en la imposibilidad de que la organización pueda alcanzar dicho estándar y demostrarlo. 1. Responsabilidad La organización mantiene un programa efectivo de protección de datos personales que se compone de actividades de gestión de información La responsabilidad demostrada se alcanza mediante la implementación de un programa efectivo de protección de datos personales, pero ¿de qué se compone un programa efectivo de protección de datos personales? En 2012 Nymity amplió su programa de investigación en responsabilidad demostrada para identificar todas las actividades de gestión de información que se implementan en las organizaciones alrededor de varias industrias y jurisdicciones. Las actividades de gestión de información son procedimientos, políticas, mecanismos y otras iniciativas ejecutadas de manera permanente en la organización que impactan el tratamiento de datos personales o que se relacionan con el cumplimiento de las normas sobre protección de datos personales. Las actividades de gestión en protección de datos pueden variar entre las distintas organizaciones de la misma manera que varía el tipo de información personal que se está tratando y las finalidades con que se tratan en los distintos casos. El resultado de esta investigación fue el Marco Nymity de Gobernanza en Privacidad y Protección de Datos (“El Marco”). El Marco es un listado completo, neutral en material de jurisdicciones y de categorías de industrias, que contiene más de 150 actividades de gestión de 7 información contenidas en 13 Procesos de Gestión de Datos. El Marco puede ser consultado de manera gratuita y se mantiene actualizado con base en nuevos resultados por parte del equipo de investigación de Nymity. El Marco no es una lista de chequeo de actividades que deben ser completadas; más bien, es una estructura para (i) reportarle a la Alta Dirección, (ii) definir el estado del programa de protección de datos, (iii) crear casos de negocio que justifiquen las inversiones futuras y (iv) ayudarle a las organizaciones a maximizar la efectividad de su programa de protección de datos personales. El Marco no se basa en principios ni en controles, sino en actividades de gestión de información que pueden ser planificadas y monitoreadas. 2. Control El individuo asume el control y es responsable por la gestión y el monitoreo de las actividades de gestión de información El control efectivo es el segundo elemento de la responsabilidad demostrada y es un derivado del elemento de la responsabilidad. Aun cuando el Área de Protección de Datos responde por la gestión de la información personal y el cumplimiento normativo, el Área de Protección de Datos en sí misma usualmente trata muy pocos datos personales. Como tal, la efectividad del programa de protección de datos personales recae en la gestión efectiva de las actividades de gestión de información que se hacen a lo largo de todo el ciclo de gestión de los datos personales que recoge la organización, desde el punto de recolección hasta el punto de destrucción. El control de algunas actividades de gestión de información estará asignada a las unidades operativas de la organización, como por ejemplo el área de recursos humanos, marketing, desarrollo de producto, TI, servicio al cliente, etc., por cuanto es allí donde se recolecta y trata la información. Las actividades de gestión de información pueden ser: • • Implementadas por el Área de Protección de Datos , por ejemplo: o Mantener una política de protección de datos personales (PGD 3) o Mantener un programa de capacitación básico para todos los empleados (PGD 5) o Mantener un aviso de privacidad que detalle las políticas de la organización en el manejo de los datos personales (PGD8) o Llevar a cabo investigaciones continuas sobre cambios regulatorios (PGD 13) Influenciadas u observadas por el Área de Protección de Datos, por ejemplo: o Integrar la protección de datos en las prácticas de marketing directo (PGD 4) o Mantener una política de seguridad de la información (PGD 6) o Llevar a cabo el análisis de debida diligencia (due diligence) de las prácticas sobre protección de datos y seguridad de la información de los potenciales proveedores/encargados (PGD 7) 3. Evidencia Hay documentos que soportan la ejecución de las Actividades de Gestión de Información El tercer elemento de la responsabilidad demostrada es la evidencia. En las organizaciones responsables, quien asume el control de una Actividad de Gestión de Información, provee la evidencia de que esa actividad efectivamente se está implementando. 8 Cuando las Actividades de Gestión de Información se están llevando a cabo de manera constante, la evidencia se genera como un sub-producto de la actividad. La evidencia es documentación que puede ser formal (p. ej. políticas, procedimientos o reportes) o información (comunicaciones internas o externas, agendas o registros de los sistemas de información) y pueden ser utilizados para demostrar que una Actividad de Gestión de Información efectivamente se está llevando a cabo. Por ejemplo, la Actividad de Gestión de Información Llevar a cabo PIA para nuevos programas, sistemas y procesos (PGD 10) produce como resultado varios tipos de evidencia, incluyendo: (i) políticas que requieren Evaluaciones de Impacto de Privacidad (PIA), (ii) procedimientos y flujos de trabajo que documentan los procesos de aprobación, (iii) guías y minutas para llevar a cabo una PIA, (iv) documentos de entrenamiento sobre cómo hacer una PIA, (v) registros de las PIA, etc. Esta documentación sirve como evidencia de la responsabilidad demostrada. 3. La aproximación de Nymity para alcanzar un estándar de Responsabilidad Demostrada Este estudio desarrolla una aproximación práctica a la gestión de un programa de protección de datos personales, cumplimiento normativo y responsabilidad demostrada (accountability). 9 La aproximación de Nymity es pragmática y funciona para cualquier organización independientemente de su tamaño, recursos, jurisdicción y sector/industria. Entre los aspectos únicos de la aproximación de Nymity se destacan los siguientes: • • • • • • Está estructurado con base en la realidad de que un Área de Protección de Datos sólo puede implementar y mantener un programa de protección de datos según los recursos que le hayan sido asignados al Oficial de Protección de Datos. Muestra que el alcance del programa de protección de datos no solo incluye las Actividades de Gestión de Información implementadas por el Área de Protección de Datos sino también las Actividades de Gestión de Información implementadas por las unidades operativas que controlan o influencian el tratamiento de información personal. Permite la demostración de la responsabilidad y el cumplimiento legal con los documentos que ya existen en la organización y que se generan como un sub-producto de las Actividades de Gestión de Información. Se basa en un marco que identifica Actividades de Gestión de Información específicas, denominado el Marco NYMITY de Gobernanza en Privacidad y Protección de Datos. Está soportado por herramientas gratuitas de gestión de protección de datos que se actualizan permanentemente por parte del equipo de investigación. Funciona para cualquier organización, independientemente de su tamaño, sector/industria o jurisdicción. Básicamente, la ventaja más significativa de la aproximación de Nymity es el foco en cómo un programa de protección de datos efectivo tiene las mejores probabilidades de alcanzar estándares continuos de responsabilidad demostrada y cumplimiento normativo frente a la regulación existente. La aproximación de Nymity se describe a continuación: A. Estado inicial de la gestión de información personal en la Organización El punto inicial para cualquier organización es determinar el estado de la gestión de la información personal recolectada por la organización a través de sus diferentes áreas. B. Principios guías para seleccionar las Actividades de Gestión de Información aplicables Bien sea por que se está empezando o que ya se encuentra implementando alguna estrategia para mejorar su programa de protección de datos, existen algunos factores esenciales y consideraciones prácticas para maximizar los recursos existentes para mantener un programa de protección de datos efectivo. C. Tres estrategias para implementar un Programa Esta sección es para todas las organizaciones que se están enfocando sus esfuerzos para consolidar un programa de protección de datos efectivo. D. Tres maneras de empezar Esta sección le ayuda a las organizaciones a determinar cuáles actividades desarrollar primero para implantar una estrategia de creación de un programa de protección de datos. 10 A. Estatus inicial de la gestión de información personal en la organización El primer paso en la aproximación de Nymity para alcanzar estándares de responsabilidad demostrada es entender el estatus actual de la gestión de información personal dentro de la organización. Esto se logra referenciando la gestión existente en la organización (el estado inicial de la Actividad de Gestión de Información Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos (PGD 12)). Esto es cierto para cualquier organización, sea que tenga un proceso maduro ya implementado o que esté apenas empezando. Esta Actividad de Gestión de Información define el estado de la gestión de información personal dentro de la organización, al mismo tiempo que le ayuda al Área de Protección de Datos a identificar recursos que puedan ser aplicados a maximizar dicha gestión. El Área de Protección de Datos usa el Marco Nymity de Gobernanza en Privacidad y Protección de Datos para identificar cuáles actividades han sido puestas en práctica, no solo a nivel del Área de Protección de Datos sino dentro de las unidades operativas de la compañía. En la medida en que el programa se va mejorando, el estado se actualizará de manera continua. Los Programas de Protección de Datos no se miden por el número de Actividades de Gestión de Información implementadas (“más” no necesariamente significa “mejor”). Para algunas organizaciones, seleccionar solo unas pocas actividades es efectivo – para otras, puede ser apropiado tener hasta ochenta 17. Usando este método, el Área de Protección de Datos puede determinar su estado actual 18 (p. ej. desde qué punto está empezando) y también identificar los recursos disponibles para la implementación del programa. El primer paso es determinar el estado actual de las Actividades de Gestión de Información: • • 17 No aplicable (N/A): Las Actividades de Gestión de Información que no son aplicables a la organización (o a la parte de la organización que está siendo evaluada) se catalogan como N/A. Como el Marco es aplicable a toda América Latina (así como la versión global es aplicable a cualquier organización a nivel mundial) habrá actividades que no son relevantes en una determinada jurisdicción o industria. Un ejemplo de actividades que se catalogan como No Aplicables son aquellas relacionadas con marketing en organizaciones que no adelantan ninguna gestión de mercadeo. Deseada: Las Actividades de Gestión de Información que se ha determinado que sí son aplicables a la organización o relevantes para el programa de protección de datos pero que no se han implementado Nymity trabaja con organizaciones de varios tamaños y en diferentes industrias y jurisdicciones en todo el proceso de implementación de un estándar de responsabilidad demostrada. A través de esta relación y del conocimiento especializado de nuestro equipo de profesionales en protección de datos, hemos observado que el número de Actividades de Gestión de Información no necesariamente es un indicador de la efectividad de un programa de protección de datos. Más bien, implementar las actividades apropiadas basándose en los riesgos y en la forma de tratamiento de la información que son únicos para cada empresa, es la aproximación correcta. La mayor parte de las organizaciones se dan cuenta que entre 50 y 70 actividades es un número apropiado para implementar en el Área de Protección de Datos y en las unidades operativas. Nymity publica un benchmark anual sobre las actividades más comúnmente implementadas. El reporte está disponible en https://www.nymity.com/data-privacy-resources/data-privacy-research/privacy-managementbenchmarking-report.aspx. En 2015, Nymity publicó el Hong Kong Accountability Benchmarking Micro-Study, un reporte agregado sobre las Actividades de Gestión de Información implementadas en organizaciones públicas y privadas en esa jurisdicción. 18 En este punto, la autoevaluación está diseñada para identificar las actividades que ya se han implementado o que están en marcha y se enfoque en el estado de la implementación. No es una evaluación del estado actual en el sentido tradicional, toda vez que no busca evaluar la efectividad de las actividades ni encontrar posibles huecos. 11 • • o no han sido incluidas en el presupuesto se catalogan como Deseadas. El Área de Protección de Datos puede determinar que estas actividades deben ser priorizadas (por ejemplo cuando responden a un requerimiento legal). Planeada: Si la actividad ya se encuentra presupuestada y su ejecución está avanzando, o si se encuentra dentro de la planeación para ser implementada, se cataloga como Planeada. La decisión ya se ha tomado y hay acciones concretas avanzando en el sentido de implementar la actividad. Implementada: La Actividades de Gestión de Información que ya se encuentran implementadas y que cuentan con suficientes recursos para ser mantenidas se catalogan como Implementadas. Para determinar el estatus de las Actividades de Gestión de Información, el Oficial de Protección de Datos puede necesitar coordinarse con representantes de otras áreas operacionales tales como recursos humanos, marketing y seguridad de la información. Como se describió anteriormente, una característica definitiva de la aproximación de Nymity es que un programa de protección de datos basado en estándares de responsabilidad demostrada no solo está integrado por las actividades implementadas por el Área de Protección de Datos, sino también por aquellas que el Área de Protección de Datos influencia y observa y en donde el control reside directamente en el área de negocio. Cada Actividad de Gestión de Información tiene entonces un dueño que ejerce el control y debe responsabilizarse por su implementación efectiva. Nótese que algunas actividades pueden tener más de un dueño. La mayoría de los Oficiales de Protección de Datos encontrarán que ya existe en la organización un programa de seguridad de la información que puede ser aprovechado para alcanzar los objetivos que se ha trazado con relación a gestión segura de datos y manejo del riesgo en seguridad de la información. El Área de Protección de Datos, hasta donde sea posible, debe brindar apoyo y ejercer influencia sobre el equipo de seguridad de la información con relación a la implementación de estas actividades. Las estrategias que se discuten más abajo parten de esa base y en esa medida no se refieren a las Actividades de Gestión de Información desde la perspectiva del proceso de gestión de información No. 6. Manejo de riesgos de seguridad de la información. Cuaderno de Trabajo para identificar el estado del Programa de Protección de Datos El Cuaderno de Trabajo para identificar el estado del programa de protección de datos de Nymity 19 (en adelante “el cuaderno de trabajo”) está disponible para facilitar un ejercicio de autoevaluación. Está estructurado como una hoja de cálculo que puede ser ajustada y modificada por el Área de Protección de Datos, pero que empieza con los elementos básicos que deben ser registrados como parte de la aproximación de Nymity: Estado, Dueño y recursos para implementar/mantener. 19 El Cuaderno de Trabajo Nymity está disponible en www.nymity.com/getting-to-accountability 12 Cuaderno de trabajo (ejemplo ilustrativo) Actividad de Gestión de Información Estado Dueño(s) Asignar responsabilidad es por la adecuada gestión de datos personales en la alta dirección y en la gerencia (PGD 1) Implementada Área de Protección de Datos Recursos para implementar Recursos para mantener Caso de negocio Funda mental ? Descripción / Comentario Evidencia Identificación de recursos disponibles Como parte de la Actividad de Gestión de Información Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos (PGD 12), el Área de Protección de Datos determinará no solo el estado de las Actividades de Gestión de Información sino que también tendrá un sentido de los recursos disponibles para enriquecer el programa y maximizar su efectividad. Algunos recursos son tangibles o fácilmente medibles como el presupuesto o el personal. Otros recursos igualmente importantes incluyen a los dueños y partes interesadas en toda la organización que están dispuestos a ayudar al Área de Protección de Datos; la documentación tal como políticas, procedimientos y otra evidencias que puedan ser usadas más adelante para demostrar la responsabilidad; y los recursos intangibles tales como el respaldo de la gerencia o las aprobaciones de los directivos. Los recursos también pueden incluir: • • • • 20 Personal Empleados– a tiempo completo o parcial Aprobación o soporte de la Gerencia/Directivos Otros departamentos o grupos tales como control interno, cumplimiento, etc. Servicios compartidos • • • • Procesos Flujos de trabajo para • aprobaciones Mecanismos de • monitoreo y/o control • Comunicación/ Reuniones Entrenamiento/educa ción • Tecnología Plataformas para compartir archivos /documentos Herramientas colaborativas Seguridad de la información / Controles de protección de datos Sistemas de • • • • Herramientas 20 Suscripciones a servicios de reporte sobre cumplimiento Suscripción a boletines informativos Minutas y modelos Sistemas de gestión de protección de datos Nymity ofrece una gran cantidad de herramientas y recursos gratuitos incluyendo el Marco Nymity de Gobernanza en Privacidad y Protección de Datos ™, el Scorecard Nymity de Protección de Datos ™ y una serie de informes, estudios, guías y materiales de soporte para ayudar en la implementación del estándar de responsabilidad demostrada. Adicionalmente a estos recursos gratuitos, Nymity ofrece soluciones de software por suscripción. En diciembre de 2015, Nymity estará lanzando Nymity LatAm™ un producto 100% en español diseñado para las empresas que operan en América Latina, y que combina tres de las herramientas más avanzadas para el oficial de protección de datos: Nymity Research™, Nymity Templates ™ y Nymity Benchmarks ™. En una sola solución, los responsables de gestionar los programas de protección de datos personales podrán acceder a la investigación latinoamericana del equipo de Nymity, consultar y descargar guías para implementar un programa integral de protección de datos personales y comparar sus programas. Más información sobre estas soluciones en www.nymity.com/products. 13 Personal (Seguridad de Información, TI, Jurídica, Contratos) Consultores externos / Asesores / Auditores/ Servicios Proveedores • • Procesos Escalamiento • • Tecnología planeación de recursos Sistemas de emisión de tiquetes Plataformas de educación en línea • • • • Herramientas 20 Software de reporte de cumplimiento en protección de datos/riesgos/cumpli miento legal Soluciones para PIA Tablas racionalizadas de generación de reglas Soluciones de benchmarking Tabla 2: Recursos del PPD (lista parcial) Después de este proceso, el Cuaderno de Trabajo 21 se actualiza para reflejar los recursos requeridos para implementar y mantener la Actividad de Gestión de Información: Cuaderno de Trabajo (ejemplo ilustrativo) Actividad de Gestión de Información Estado Dueño(s) Recursos para implementar Recursos para mantener Asignar responsabilidade s por la adecuada gestión de datos personales en la alta dirección y en la gerencia (PGD 1) Implementada Área de Protección de Datos Soporte de la Gerencia al Oficial de Protección de Datos % FTE para el rol de Oficial de Protección de Datos Caso de negocio Fundam ental? Descripción / Comentario Evidencia B. Principios para seleccionar las Actividades de Gestión de Información Bien sea porque está empezando o porque está desarrollando mejor su estrategia para mejorar un programa de protección de datos más maduro, la aproximación de Nymity provee algunas consideraciones fundamentales para seleccionar las Actividades de Gestión de Información que maximizarán los recursos que tiene disponibles y que se convertirán en una verdadera estrategia de gestión de protección de datos. Ignorar cualquiera de estos factores puede resultar en un programa de protección de datos que no alcance los objetivos trazados inicialmente. También es importante que estos factores sean tenidos en cuenta de manera periódica y no solo en el momento de gestación del programa. Como parte del mantenimiento del programa, las actividades deben ser revisitadas de manera periódica y el programa de protección de datos debe ser ajustado, si es necesario. Los cinco principios para seleccionar las Actividades de Gestión de Información son los siguientes: 21 El Cuaderno de Trabajo Nymity está disponible en www.nymity.com/getting-to-accountability 14 1. Identifique su perfil de recursos Resulta crítico tener un entendimiento realista de los recursos que se encuentran disponibles para su programa y ser capaz de comunicar efectivamente el hecho de que se necesitan más recursos. Los perfiles elaborados según el nivel de recursos que se describen abajo pueden ser útiles para entender su propia situación. La mayoría de las organizaciones no encajarán exactamente dentro de uno de los perfiles que se describen abajo, sino que tendrán muy probablemente características de uno y de otro. No resulta indispensable ser absolutamente preciso en este punto pues la idea es tener una guía que ayude a escoger una estrategia. Los perfiles según el nivel de recursos son los siguientes: i. Bajos recursos: “Oficial de Protección de Datos de tiempo parcial” Muchas veces las organizaciones cuentan con una persona para quien el rol de Oficial de Protección de Datos es un rol secundario. Esto sucede por ejemplo cuando esa persona también actúa como vicepresidente jurídico, gerente de recursos humanos o profesional en el área de marketing. La organización solo puede darle recursos limitados a ese Oficial de Protección de Datos posiblemente porque: • • • • • • es una organización pequeña o es una organización que no trata grandes volúmenes de información personal; el rol de Oficial de Protección de Datos es un rol de tiempo parcial y por tanto el Área de Protección de Datos tiene poco tiempo disponible; es una organización del sector público o del sector privado con limitaciones presupuestales; no se ha logrado el compromiso y la aprobación de la alta dirección; no ha logrado obtener recursos de la mayoría de las áreas operativas tales como RRHH, TI y marketing, o el riesgo de protección de datos se percibe como bajo comparativamente con otros retos u oportunidades. ii. Recursos medios: “Apoyo de la organización” Las Áreas de Protección de Datos con recursos medios tienen aprobación y apoyo de las unidades operacionales. La Organización también puede tener: • • • • • un Oficial de Protección de Datos de tiempo completo que ha sido entusiasta y se ha dedicado a la promoción de la protección de datos y del Programa de Protección de Datos en toda la organización; una cultura de cumplimiento legal (compliance), tal y como sucede en las industrias altamente reguladas (ej. servicios financieros, telecomunicaciones, farmacéuticas); el tratamiento de datos hace parte del negocio principal (core business) de la organización, sea directamente o como proveedor de servicios tercerizados; ha sufrido incidentes de seguridad y la alta dirección está preocupada sobre incidentes futuros, el daño reputacional y las consecuencias regulatorias; obligaciones contractuales para incluir buenas prácticas de protección de datos; 15 • • un gran Proyecto o reestructuración de la organización que represente una oportunidad para crear un Programa de Protección de Datos desde ceros; por ejemplo con la implementación de un nuevo sistema de gestión de recursos humanos, y un proceso adelantado con miras a implementar un mecanismo para llevar a cabo flujos transfronterizos de información como podrían ser las BCR’s en la UE, el arreglo de Puerto Seguro entre EE.UU y la UE, las Reglas APEC de Flujos Transfronterizos de Datos u otros. iii. Recursos Altos: “Apoyo de la Alta Dirección y un Área de Protección de Datos con recursos abundantes” Un Área de Protección de Datos con recursos abundantes es un Área de Protección de Datos que tendrá suficiente personal a disposición y también recurre a firmas de abogados o de consultoría externas. Hay un apoyo real de la alta dirección y pleno compromiso de las unidades operativas y de negocio. Esto generalmente ocurre en organizaciones: • • • • • con alta aversión al riesgo y una cultura de cumplimiento legal y normativo; donde la protección de datos ha llegado hasta el nivel de la junta directiva y se han asignado recursos y responsabilidades desde dicho órgano; donde ha ocurrido un incidente de seguridad de grandes magnitudes dentro de la organización o esto le ha ocurrido a un competidor, y donde en consecuencia se ha atraído la atención de los directivos; que han sido objeto de investigación por parte de una autoridad de protección de datos personales, y/o que sigue de cerca las recomendaciones de sus asesores externos, firmas de abogados o empresas de consultoría. Tener un entendimiento profundo de su perfil de recursos le ayudará a priorizar los requerimientos para su programa y adicionalmente le ayudará a solicitar recursos adicionales en caso de que los necesite. 2. Tenga en cuenta los requisitos legales, regulatorios y de cumplimiento En la mayoría de las jurisdicciones, existe una serie de leyes de protección de datos y de privacidad que gobiernan el uso de la información personal. Adicionalmente, las Autoridades de Protección de Datos de manera creciente han venido mostrando cuáles son sus expectativas frente a la forma como las organizaciones manejan la información personal. Hay muchas maneras para incluir elementos de cumplimiento legal en la organización, dependiendo de los recursos que le hayan sido asignados al Área de Protección de Datos y a la complejidad del ambiente legislativo. No obstante, se requiere de mucha investigación para entender las obligaciones regulatorias y de cumplimiento. En Nymity estamos convencidos que si la organización está tratando los datos personales de manera responsable por medio del establecimiento de un Programa de Protección de Datos, con buen presupuesto, hay una alta probabilidad de que la mayoría de los requerimientos de las leyes de protección de datos alrededor del mundo resulten cumplidas. Entender las expectativas de las Autoridades de Protección de Datos Personales Se requiere de investigación para entender las expectativas fijadas por las autoridades de protección de datos, por los tribunales y las cortes y por otras autoridades en cada jurisdicción. Las expectativas varían tratándose 16 de organizaciones del sector público, de salud, financiero, internet, servicios tercerizados, etc. El Área de Protección de Datos debe tener en cuenta esas expectativas cuando escoja una estrategia para su programa de protección de datos y cuando seleccione las Actividades de Gestión de Información para asegurarse que realmente está alcanzando un estado de cumplimiento legal. Por ejemplo, una organización que implemente la Actividad de Gestión de Información Mantener una política que sea aplicable a los prestadores de servicios en la nube (PGD 7) tendrá que entender las expectativas e interpretaciones apropiadas de cada ley de protección de datos personales. Esto puede estar documentado en un documento guía de la autoridad de protección de datos personales (por ejemplo la guía de la autoridad australiana sobre transferencias internacionales de datos 22) o podría estar contenido en las decisiones proferidas por una Autoridad de Protección de Datos en ejercicio de sus funciones de investigación y control o por un tribunal (p. ej. ver la decisión de la Corte de Apelaciones del Reino Unido a favor de un proveedor de servicios de computación en la nube cuando el cliente terminó el contrato de manera anticipada 23). Si no existe ningún documento guía de la autoridad ni decisiones basadas en el tema objeto de estudio entonces las opiniones y conceptos formulados por firmas de abogados o consultores serán material adecuado para poder entender la problemática concreta (por ejemplo un artículo sobre riesgos relacionado con las modalidades contractuales más frecuentemente usadas por los proveedores multinacionales de computación en la nube en Argentina 24). Es crítico monitorear la dinámica natural del cumplimiento legal toda vez que las expectativas de las Autoridades de Protección de Datos son cambiantes y pueden ser actualizadas o modificadas con base en múltiples factores. Entender la Ley Entender la ley es importante y es necesario para poder identificar las Actividades de Gestión de Información que integrarán su programa. Si una organización opera en una sola jurisdicción y necesita cumplir con una o más leyes, el Área de Protección de Datos debe entender la regulación de protección de datos y las normas relacionadas y cómo se aplican. Para las organizaciones multinacionales, el reto del Área de Protección de Datos se complica por el número de requerimientos y por los conflictos entre normas. Para las organizaciones multi-jurisdiccionales, generalmente hay dos aproximaciones para hacer frente al cumplimiento de múltiples leyes: Aproximación basada en Principios Las organizaciones que operan en múltiples jurisdicciones con recursos limitados pueden no tener los recursos para entender de manera completa todas las obligaciones de cumplimiento legal en cada jurisdicción desde donde operan. Tienen un gran número de requerimientos legales, obligaciones de cumplimiento y conflictos entre leyes que deben ser abordados, pero simplemente no están en una posición para analizar a profundidad las reglas para cada jurisdicción. 22 http://www.oaic.gov.au/images/documents/privacy/privacy-resources/privacy-business-resources/privacy-businessresource-8.pdf 23 http://www.casetrack.com/ct4plc.nsf/items/4-549-4004 24 http://www.digitalrightslac.net/es/datos-personales-empresas-y-nube-estamos-preparados/ 17 Estas organizaciones pueden decidir tomar una aproximación basada en principios, donde se seleccionan las Actividades de Gestión de Información según los principios de protección de datos personales más recurrentes, tales como los principios de la OCDE 25 (recolección limitada, calidad, finalidad, limitaciones al uso, medidas de seguridad, transparencia, participación individual y responsabilidad demostrada). Si la organización opera en la Unión Europea, la aproximación basada en principios puede usar la Directiva 95/46/EC 26 como fuente principal para establecer el cumplimiento legal, toda vez que delimita las reglas principales que sirven de base a las leyes nacionales a lo largo de los estados miembros de la UE. Algunas organizaciones escogen un marco legislativo relativamente restrictivo como base de su Programa de Protección de Datos global, con el ánimo de implementar medidas robustas consistentes a lo largo de toda la organización, inclusive en jurisdicciones donde no hay leyes de protección de datos personales. Tenga en cuenta que implementar un Programa de Protección de Datos basado solamente en principios puede no resultar en un cumplimiento del 100% con todas las obligaciones legales. Aproximación basada en normas A diferencia de la aproximación basada en riesgos que se describió arriba, la aproximación basada en normas examina los requerimientos específicos de cada ley aplicable e implementa las correspondientes políticas y procedimientos de forma concordante. Para poder gestionar el Programa de Protección de Datos de manera eficiente, muchas organizaciones crean un conjunto de normas racionalizadas. En esta aproximación, el Área de Protección de Datos revisa las distintas leyes e identifica requerimientos que son comunes a distintas jurisdicciones (ej. donde una Actividad de Gestión de Información puede cumplir los requisitos de múltiples países) e identifica las jurisdicciones con requerimientos adicionales (comúnmente referidos como outliers). Usando este conocimiento, el Área de Protección de Datos puede desarrollar un conjunto único de políticas y procedimientos que aborden la mayoría de los requerimientos y luego mapea su programa contra las leyes y regulaciones aplicables. Esto le ayuda al Área de Protección de Datos a priorizar sus esfuerzos y maximizar la rentabilidad de la inversión hecha en el cumplimiento legal, esto es, enfocándose primero en las actividades que proveen el mayor grado de cobertura legal. La organización podría empezar mediante la creación de una tabla con las reglas -leyes, regulaciones, códigos, etc.- (un ejemplo de alto nivel de esta tabla se incluye en la sección de Estrategia Gerenciada que aparece más abajo en este documento) y luego revisar los requerimientos específicos y crear una sola política para la organización. En la mayoría de los casos, esa política única funcionará tal cual como está en la mayoría de las jurisdicciones pero en algunas jurisdicciones deberá tener ligeros cambios para poder lidiar con los outliers. 25 26 http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML 18 3. Priorice con base en el nivel de riesgo Hay muchas formas de definir y medir el riesgo en protección de datos incluyendo el riesgo de perjudicar al titular, el riesgo de no cumplir con la ley, el riesgo del uso no autorizado de datos personales o el riesgo de pérdida para la organización. El Área de Protección de Datos debe tener en cuenta los riesgos de protección de datos que son más relevantes para la organización. Para poder maximizar la efectividad, el Área de Protección de Datos debe implementar las actividades que tendrán más impacto en reducir el riesgo de protección de datos. Los niveles de impacto variarán de una organización a otra y no hay una fórmula secreta para determinar cuáles actividades son más efectivas para la reducción del riesgo. El Área de Protección de Datos deberá considerar cuáles son los mayores riesgos (ej. riesgo de incidentes de seguridad por robo de información, riesgo por uso indebido de datos personales, riesgo de no cumplimiento) y después priorizar aquellas Actividades de Gestión de Información que las mitiguen (ej. controles técnicos de seguridad, entrenamiento y capacitación, etc.). 4. Priorice basado en los objetivos de la organización Cuando esté considerando los factores de riesgo y cumplimiento legal que influencian el Programa de Protección de Datos, el Área de Protección de Datos también debe tener en cuenta los objetivos de la organización y, hasta donde sea posible, alinearse con ellos. Si la organización tiene un apetito de riesgo bajo, los requerimientos de cumplimiento deben ser examinados con cuidado y priorizados. Si la organización está enfocada en la expansión global o quiere tener un sistema de gestión de archivo “cero papel”, el Área de Protección de Datos debe considerar estos factores cuando diseñe y mejore el programa de protección de datos. 5. Priorice basado en su nivel de recursos Cuando esté seleccionando las Actividades de Gestión de Información, la investigación de Nymity ha identificado una serie de criterios importantes que deben ser considerados para maximizar la efectividad de su Programa de Protección de Datos. Aproveche los recursos existentes La aproximación de Nymity es maximizar la efectividad del Programa de Protección de Datos mediante el apalancamiento de las Actividades de Gestión de Información que ya están parcial o totalmente implementadas. Por ejemplo, si el departamento de recursos humanos ya tiene políticas y procedimientos para monitorear empleados, y el Área de Protección de Datos cuenta con el apoyo del área de recursos humanos, implementar y mantener la actividad Integrar la protección de datos en las prácticas para el monitoreo de empleados (PGD 4) requerirá de poco esfuerzo porque la estructura ya se implementó. Priorice las actividades que tienen apoyo en el resto de la organización Un programa efectivo requiere que la cultura de protección de datos personales haya permeado a toda la organización – tanto en el Área de Protección de Datos como en las áreas operativas. El apoyo de las unidades operacionales es crítico para el éxito del programa, sin embargo, la falta de apoyo puede derivar en un verdadero obstáculo. La Actividad de Gestión de Información Mantener políticas/procedimientos para tratamientos secundarios de datos personales (PGD 4), por ejemplo, muy seguramente estará influenciada por el Área de Protección de Datos pero su dueño será una unidad operativa tal como marketing. Si el Área de Protección de Datos trata de implementar la actividad sin el apoyo de marketing, seguramente no será adoptada. Aun cuando la actividad es importante para proteger la información personal, no sería 19 implementada de manera efectiva y no sería el mejor uso de los limitados recursos disponibles. Como tal, el Área de Protección de Datos priorizaría aquellas actividades que tengan el apoyo de partes interesadas clave, pues seguramente serán más exitosas. Priorice lo que puede ser mantenido La responsabilidad demostrada es un proceso continuo – no un punto estático en el tiempo. Como tal, la aproximación de Nymity en este caso es implementar las Actividades de Gestión de Información que pueden ser mantenidas basadas en los recursos disponibles y continuos. En muchos casos, el esfuerzo inicial de implementar una actividad será mayor que el esfuerzo de mantenerla, pero igualmente es importante tener en cuenta el mantenimiento desde el momento mismo de la implementación. Por ejemplo, con la actividad Mantener una política de protección de datos personales (PGD 3) el esfuerzo inicial requerido para redactar una política que se alinee con los objetivos organizacionales y esté acorde con la legislación aplicable, requiere recursos medios. De igual manera, la Política debe ser socializada con las partes interesadas clave para poder lograr apoyo y compromiso y para mejorar las probabilidades de que se adopte. Publicar o emitir la política es solo el primer paso. Después tendrá que ser revisada de manera periódica para asegurarse de que todavía se encuentra alineada con los requisitos legislativos y con el ambiente de negocios, y deberá ser actualizada cuando sea pertinente para reflejar cualquier cambio. No actualizarla se traducirá en un aumento del riesgo de protección de datos. Aun cuando el esfuerzo para llevar a cabo estas revisiones periódicas y actualizaciones requiere recursos, debe ser incluido en el ejercicio de planeación y priorización. C. Tres estrategias de Gestión de Programa de Protección de Datos S Para todas las organizaciones, incluyendo las organizaciones con un Programa de Protección de Datos en marcha, es útil implementar la actividad Mantener una Estrategia de Protección de Datos (PGD 1) para ayudar a maximizar el programa. Esta sección aborda tres estrategias para maximizar la efectividad del Programa de Protección de Datos: 1. Estrategia Gerenciada de Protección de Datos El número mínimo de Actividades de Gestión de Información identificadas como “obligatorias” para la organización. No hay ningún estándar único para determinar qué es obligatorio en una organización. Muchas empresas grandes se enfocan en las actividades para gestionar el riesgo y lograr un estándar de cumplimiento legal permanente. Las empresas más pequeñas pueden optar por algunas pocas actividades críticas para maximizar los recursos disponibles lo mejor posible. 2. Estrategia Avanzada de Protección de Datos Implica ir más allá del mínimo mediante la implementación de Actividades de Gestión de Información que de manera más robusta incorporen prácticas de protección de datos a lo largo de toda la organización. 3. Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability) Esta es una estrategia de protección de datos personales para las organizaciones que estén enfocadas en la adherencia a un estricto estándar de responsabilidad demostrada y que, en consecuencia, quieran prepararse para estar en la capacidad de demostrar su cumplimiento y responsabilidad ante las autoridades en cualquier momento en que sean requeridas. 20 En todas las estrategias, el Área de Protección de Datos selecciona las Actividades de Gestión de Información específicas para su organización. Una vez que (i) ha seleccionado una de las estrategias descritas a continuación, (ii) priorizado la implementación de las actividades basado en los recursos disponibles y (iii) considerado los factores externos (tales como requerimientos legales y de cumplimiento, riesgo de protección de datos y alineación con los objetivos institucionales) usted estará equipado con un mapa para alcanzar un estándar de responsabilidad demostrada. 1. Estrategia Gerenciada de Protección de Datos Las actividades fundamentales u Personales obligatorias (core) son fundamentales La Estrategia Gerenciada de Protección de Datos Personales para la gestión en protección de datos busca alcanzar y mantener un nivel de responsabilidad de la organización y se marcan por el demostrada que alcance pero no exceda los requerimientos Área de Protección de Datos como mínimos necesarios para mantener Actividades de Gestión de obligatorias. Estas actividades varían Información fundamentales para la gestión de datos personales entre distintas organizaciones en las organizaciones y que han sido identificadas por el Área de Protección de Datos como obligatorias (core). Estas actividades variarán de una organización a otra y estarán influenciadas por el sector o por la industria específica, por la jurisdicción aplicable, la naturaleza del tratamiento, el tipo de datos personales, el nivel de tolerancia al riesgo y otros factores. Las organizaciones que escogen esta estrategia incluyen a aquellas con: 1. Bajo riesgo asociado al tratamiento de información personal; 2. Un Programa de Protección de Datos nuevo, donde esta Estrategia Gerenciada es un punto de inicio, o 3. Escasos recursos disponibles para el Área de Protección de Datos basados en la tolerancia al riesgo de la organización. Actividades de Gestión de Información Fundamentales Como se indicó arriba, la Estrategia Gerenciada de Protección de Datos Personales se basa en el mantenimiento de Actividades de Gestión de Información fundamentales y estas varían de organización en organización. Muchas empresas seleccionan actividades relacionadas con gestión de riesgo y cumplimiento legal. Un ejemplo de actividad fundamental relacionada con cumplimiento legal sería Mantener un aviso de privacidad que detalle las políticas de la organización en el manejo de los datos personales (PGD 8), toda vez que la mayoría de las leyes requieren que se dé aviso al titular sobre la manera como serán tratados sus datos personales. Un ejemplo de una Actividad de Gestión de Información para gestionar el riesgo es Mantener un programa de capacitación básico para todos los empleados (PGD 5) toda vez que muy pocas leyes contienen un requerimiento explícito de entrenamiento en protección de datos, pero el Área de Protección de Datos usualmente considera que esa es una actividad crítica para disminuir los niveles de riesgo por cuanto los empleados que entiendan el tema serán menos propensos a incurrir en una práctica que genere un detrimento o ponga en peligro a la empresa. ¿Cómo se definen las Actividades de Gestión de Información fundamentales y sus respectivos dueños? Como se discutió en la sección 3A, el punto de arranque para cualquier estrategia es identificar el estado del Programa de Protección de Datos dentro de la organización (es el primer paso en Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos (PGD 12) que identifica todas las actividades que actualmente están implementadas, planeadas o deseadas y las que, por descarte, no son aplicables). Esta 21 actividad también identifica a los dueños de cada actividad y los recursos requeridos para implementarla y mantenerla. Con base en esa referenciación del estado del programa, el Área de Protección de Datos determina cuáles de las actividades son fundamentales. Como se indicó arriba, las actividades fundamentales varían de una organización a otra dependiendo de muchos factores. El Cuaderno de Trabajo de Nymity 27 se actualiza para reflejar si la actividad está designada como fundamental. Si una actividad se designa como Fundamental-Deseada (bajo el entendido de que no hay recursos disponibles para implementar la actividad), el cuaderno se vuelve a actualizar de forma que refleje un caso de negocio para esa actividad. Si una Actividad de Gestión de Información es planeada, deseada o implementada pero no es fundamental, debe ser igualmente registrada. Cuaderno de trabajo (ejemplo ilustrativo) Actividad de Gestión de Información Asignar responsabilidades por la adecuada gestión de datos personales en la alta dirección y en la gerencia (PGD 1) Estado Dueño(s) Recursos para implementar Recursos para mantener Business Case Core? Implementada Área de Protección de Datos Soporte de la Gerencia al Oficial de Protección de Datos % FTE para el rol de Oficial de Protección de Datos Asegurar la efectividad del PPD Sí Descripción / Comentario Evidencia Ya completado como parte de la Autoevaluación Identificar las Actividades de Gestión de Información Fundamentales Para ayudarle al Área de Protección de Datos a identificar las Actividades de Gestión de Información fundamentales, la tabla siguiente provee un listado de aquellas que la investigación de Nymity ha identificado como claves para un Programa de Protección de Datos. La primera columna identifica las “Prácticas Comunes”, es decir, aquellas Actividades de Gestión de Información fundamentales “comúnmente implementadas” por las organizaciones, según la experiencia e investigación de Nymity. La tabla también identifica Actividades de Gestión de Información fundamentales relacionadas con cumplimiento legal y las discrimina según reglas de origen: 27 Guías de la OCDE: Las Guías de la OCDE son no vinculantes y fueron diseñadas para armonizar las leyes de protección de datos personales a través de los países miembros de la OCDE. Actualmente son la base de un gran número de leyes de protección de datos y de regulaciones alrededor del mundo aun cuando no son obligatorias. Propuesta de Reglamento General de la Unión Europea: El Reglamento General de Protección de Datos de la Unión Europea (“Reglamento UE” ) está en proceso de revisión actualmente y podría ser adoptado a finales de 2015 con miras a ser implementado en el curso de los próximos años. Reemplazará la actual Directiva de la UE 95/46/EC y las leyes nacionales, por lo cual Europa contará con una única regulación para todos sus estados miembros. El Cuaderno de Trabajo Nymity está disponible en www.nymity.com/getting-to-accountability 22 28 Normas Corporativas Vinculantes (BCR por sus siglas en inglés): Las Normas Corporativas Vinculantes (BCR) son reglas internas (Códigos de Conducta) de un grupo de compañías multinacional, que define su política global con relación a las transferencias de información dentro de su grupo de compañías a entidades localizadas en países que no cuentan con un nivel adecuado de protección de datos. El esquema BCR es un marco voluntario que le permite a las organizaciones demostrarle su nivel de responsabilidad a las Autoridades de Protección de Datos y obtener aprobación de estas para realizar esas transferencias. Una vez son aprobadas, la organización obtiene beneficios tales como no tener que recurrir al mecanismo de usar cláusulas contractuales estándar cada vez que le transfiere datos personales a otra compañía de su grupo. Acuerdo de Puerto Seguro entre EE.UU y la UE (US-EU Safe Harbor): El marco de Puerto Seguro entre EE.UU y la UE es un esquema de autorregulación desarrollado para permitirle a las compañías europeas transferir información a los Estados Unidos al tiempo que dan cumplimiento a las disposiciones de la Directiva 95/46/EC. Su ejecución está en cabeza de la Comisión Federal de Comercio (FTC) y las compañías estadounidenses sujetas a la jurisdicción de la FTC (muchos bancos y firmas de telecomunicaciones se encuentran excluidas) deben registrarse anualmente y demostrar anualmente que mantienen los niveles de cumplimiento con el Sistema y que honran de manera adecuada sus políticas y avisos de protección de datos. Sistema APEC de Reglas Transfronterizas de Protección de Datos” (APEC CBPR): El Sistema APEC (CBPR) fue desarrollado por las economías que participan en APEC para facilitar los flujos transfronterizos de datos personales. El sistema requiere que las compañías que en él participan desarrollen e implementen políticas de protección de datos que sean consistentes con el Marco de Protección de Datos de APEC. Estas políticas y prácticas deben ser declaradas como consistentes con los mínimos del programa CBPR por un Agente de Responsabilidad Demostrada (Accountability Agent) que es una entidad independiente pública o privada formalmente reconocida por el Sistema. Adicionalmente, deben ser legalmente exigibles 28. http://www.cbprs.org 23 Actividades de Gestión de Información Fundamentales comunes Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ 1. Mantener una estructura de gobernanza Realizar una Evaluación Corporativa de Riesgo en materia de protección de datos Mantener una Estrategia de Protección de Datos Mantener una misión/visión del programa de protección de datos Mantener una descripción de funciones para las personas responsables de protección de datos (ej. oficiales de protección de datos) Asignar responsabilidades por la adecuada gestión de datos personales en la alta dirección y en la gerencia Asignar recursos para la adecuada implementación y soporte del programa de protección de datos (ej. presupuesto, personal) Asignar responsabilidades en materia de protección de datos a través de toda la organización Sostener comunicaciones regulares entre las personas a cargo y responsables de protección de datos Consultar al interior de la organización con las partes interesadas en protección de datos Reportar periódicamente sobre el estado del programa de protección de datos (ej. Asamblea de Accionistas, Junta Directiva, Consejo de Administración) Integrar la protección de datos en las evaluaciones y reportes de gestión de riesgos del negocio Integrar la protección de datos en un Código de Conducta Integrar la protección de datos en los códigos de ética Mantener una estrategia que alinee las actividades con los requisitos legales (ej. resolución de conflictos, diferencias en estándares, creación de conjuntos de reglas racionalizadas) Exigir a los empleados que reconozcan y se adhieran a las políticas de protección de datos 29 Prácticas 30 comunes Guías OCDE 31 Reglamento 32 EU BCR 33 Puerto Seguro EEUU - UE APEC CBPR 34 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Solo las Actividades de Gestión de Información que están en por lo menos uno de los marcos fueron incluidas. Para un listado completo ver el Marco Nymity de Gobernanza en Privacidad y Protección de Datos en www.nymity.com/pmaf 30 Las Actividades de Gestión de Información comúnmente implementadas como actividades fundamentales por las organizaciones, según la experiencia de Nymity. 31 Guías OCDE de Privacidad y Flujos Transfronterizos de Información revisadas en 2013. 32 Propuesta de Reglamento General de Protección de Datos de la Unión Europea. Versión usada: Documento número: 15385/14 (Bruselas, 19 de diciembre de 2014) 33 Normas Corporativas Vinculantes 34 Sistema APEC de Reglas Transfronterizas de Privacidad 24 Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ Reportar periódicamente sobre el estado del programa de protección de datos a las partes interesadas externas, según aplique (ej. reportes anuales, terceras partes, clientes) 2. Mantener un inventario de datos personales Mantener un inventario de las principales bases de datos (qué datos personales son almacenados y en dónde) Clasificar los datos personales tratados por tipo (ej. sensibles, privados, semi-privados, públicos) Obtener la autorización para el tratamiento de datos (cuando el consentimiento previo es necesario) Registrar las bases de datos ante la autoridad de protección de datos (cuando la inscripción sea necesaria) Mantener diagramas de flujo para flujos de datos clave (ej. entre sistemas, entre procesos, entre países) Mantener documentación respecto de todos los flujos transfronterizos de datos (ej. país, instrumentos utilizados como base para dichas transferencias, tales como los de Puerto Seguro (Safe Harbour), cláusulas contractuales, normas corporativas vinculantes o declaraciones de conformidad u opiniones de la autoridad de protección de datos) Hacer uso de Normas Corporativas Vinculantes como un mecanismo de transferencia de datos Hacer uso de Cláusulas Contractuales Estándar o contratos de transmisión y/o remisión de datos como mecanismo de transferencias de datos Hacer uso del Sistema de Reglas de Flujo Transfronterizo de Datos de APEC Hacer uso del marco de Puerto Seguro (Safe Harbour) como mecanismo para la transferencia de datos Hacer uso de la aprobación, declaración de conformidad u opinión de la autoridad de protección de datos como mecanismo de transferencia Hacer uso del sistema de adecuación de terceros países o una de las medidas alternativas (ej. consentimiento, ejecución de contrato, interés público), como mecanismo de transferencia 3. Mantener una política de protección de datos Mantener una política de protección de datos personales Mantener una política de protección de datos de empleados en forma separada Obtener la aprobación de la política de protección de datos por parte de la Alta Dirección Documentar las bases legales del tratamiento de datos Prácticas 30 comunes Guías OCDE X X 31 Reglamento 32 EU X X BCR 33 Puerto Seguro EEUU - UE X APEC CBPR X X X X X X X X X X X X X X X X X X X X X X X X X 25 X 34 Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ personales Documentar los principales lineamientos para la obtención del consentimiento 4. Integrar la protección de datos en las operaciones Mantener políticas/procedimientos para la recolección y uso de datos personales sensibles (incluyendo datos biométricos) Prácticas 30 comunes Mantener políticas/procedimientos para mantener la calidad de los datos Mantener políticas/procedimientos para seudonimizar/anonimizar los datos personales Mantener políticas/procedimientos para revisar los procesos implementados total o parcialmente por medios automatizados Mantener políticas/procedimientos para tratamientos secundarios de datos personales Mantener políticas/procedimientos para la obtención del consentimiento Mantener políticas/procedimientos para la destrucción segura de datos personales Integrar la protección de datos en el uso de “cookies” y mecanismos de rastreo y localización Integrar la protección de datos en las prácticas de retención de registros Integrar la protección de datos en las prácticas de marketing directo Integrar la protección de datos en las prácticas de marketing vía correo electrónico Integrar la protección de datos en las prácticas de marketing vía telefónica (telemercadeo) Integrar la protección de datos en las prácticas de publicidad conductual (behavioural advertising) Integrar la protección de datos en las prácticas de contratación Integrar la protección de datos en las prácticas de verificación de antecedentes de empleados Integrar la protección de datos en las prácticas de redes sociales Integrar la protección de datos en las políticas/procedimientos BYOD (por sus siglas en inglés “Bring your own device” – dispositivos personales en el lugar de trabajo) Integrar la protección de datos en las prácticas de salud y seguridad X Guías OCDE X 31 Reglamento 32 EU BCR 33 Puerto Seguro EEUU - UE X X X APEC CBPR X X X X X X X X X X X X X X X X X X X X X 26 34 Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ Integrar la protección de datos en la interacción con los comités de trabajo Integrar la protección de datos en las prácticas para el monitoreo de empleados Integrar la protección de datos en las prácticas de monitoreo de correos electrónicos Integrar la protección de datos en las prácticas de uso de sistemas de video-vigilancia Integrar la protección de datos en el uso de dispositivos móviles de geo-localización (de rastreo y/o localización) Integrar la protección de datos cuando se delegue el acceso a las cuentas de correo electrónico de empleados de la compañía (ej. vacaciones, permisos, terminación) Integrar la protección de datos para llevar a cabo investigaciones internas Integrar la protección de datos en las prácticas de revelación de información personal para procedimientos legales Integrar la protección de datos en las operaciones que implican interacción directa con clientes/pacientes/ciudadanos (ej. ventas, provisión de servicios de salud, procesamiento de impuestos) Integrar la protección de datos en los procedimientos internos (back-office) de la organización (ej. administración de instalaciones) Integrar la protección de datos en las operaciones financieras (ej. créditos, pagos, procesamiento de transacciones) Integrar la protección de datos en las prácticas de investigación 5. Mantener un programa de capacitación y concientización Llevar a cabo el análisis de las capacitaciones necesarias de acuerdo a las responsabilidades de cada puesto de trabajo Mantener un programa de capacitación básico para todos los empleados Capacitar a los nuevos empleados que tengan acceso a puestos de trabajo con implicaciones en materia de protección de datos Mantener un programa de capacitación de segundo nivel con contenidos específicos para cada puesto de trabajo Llevar a cabo regularmente capacitaciones de actualización que reflejen nuevos desarrollos Integrar la protección de datos en otros programas de capacitación, tales como los entrenamientos de recursos humanos, seguridad, centro de llamadas (call center) o ventas Prácticas 30 comunes Guías OCDE 31 Reglamento 32 EU BCR 33 Puerto Seguro EEUU - UE APEC CBPR X X X X X X X X X X X X X X X X X X X X X X X X X X 27 34 Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ Medir la participación en las actividades de capacitación de protección de datos (ej. número de participantes, calificaciones) Exigir terminar la capacitación en protección de datos como parte de las revisiones de desempeño Difundir boletines de protección de datos o incorporar el tema en las comunicaciones corporativas existentes Publicar en forma regular material para crear conciencia sobre protección de datos (ej. carteles, intranet y videos) Mantener una intranet, un blog o un repositorio de información y preguntas frecuentes sobre protección de datos Llevar a cabo un día/semana anual de protección de datos Medir la comprensión de los conceptos sobre protección de datos mediante exámenes Proporcionar información sobre protección de datos en las pantallas de inicio (login) de los sistemas Mantener a los responsables de la protección de datos debidamente certificados y proveer educación profesional continuada Llevar a cabo por una sola vez capacitación táctica y de comunicación para enfrentar cuestiones específicas y temas de alta relevancia Proporcionar educación continuada y entrenamiento al personal del Área de Protección de Datos (ej. conferencias, webinars, invitar conferencistas) 6. Manejo de riesgos de seguridad de la información Llevar a cabo una evaluación de riesgos de seguridad que incluya riesgos en protección de datos Mantener una política de seguridad de la información Implementar medidas de seguridad tecnológicas (ej. detección de intrusos, firewalls, monitoreo) Mantener medidas de seguridad administrativas y técnicas para encriptar los datos almacenados y las transmisiones, incluyendo medios extraíbles Mantener una política sobre los usos aceptables de los recursos de información Mantener procedimientos para restringir el acceso a información personal (ej. acceso basado en roles o separado según funciones) Contar con una política de seguridad corporativa (protección de las instalaciones físicas y activos tangibles) Prácticas 30 comunes Guías OCDE 31 Reglamento 32 EU BCR 33 Puerto Seguro EEUU - UE APEC CBPR X X X X X X X X X X X X X X X X X X X X 28 34 Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ Mantener medidas de seguridad en recursos humanos (ej. preselección, valoración de desempeño) Mantener respaldos (backups) y sistemas de continuidad del negocio Mantener una estrategia de prevención de pérdida de datos Mantener procedimientos de actualización de perfiles de seguridad con base en las actualizaciones del sistema y corrección de errores Llevar a cabo exámenes regulares de ubicación de datos personales Mantener verificaciones de seguridad 7. Administración de riesgos con terceros Mantener requerimientos de protección de datos personales con terceros (proveedores, encargados, afiliados) Mantener procedimientos para celebrar contratos o convenios con todos los encargados Llevar a cabo el análisis de debida diligencia (due diligence) de las prácticas sobre protección de datos y seguridad de la información de los potenciales proveedores/encargados Mantener un procedimiento de evaluación de riesgos sobre protección de datos en los procesos con los proveedores Mantener una política que sea aplicable a los prestadores de servicios en la nube Mantener procedimientos que establezcan las acciones por no cumplimiento de los contratos o convenios Llevar a cabo análisis de debida diligencia (due diligence) continuos sobre las prácticas de protección de datos y seguridad de la información de proveedores/encargados con base en un análisis de riesgos Revisar los contratos de largo plazo para incluir riesgos de protección de datos nuevos o en evolución 8. Mantener avisos de privacidad Mantener un aviso de privacidad que detalle las políticas de la organización en el manejo de los datos personales Poner a disposición un aviso de privacidad en todos los puntos en los que se recolecte información personal Poner a disposición el aviso en medios visibles como letreros y carteles Poner a disposición el aviso en comunicaciones de marketing (ej. correos electrónicos, folletos, ofertas) Poner a disposición el aviso en todos los formatos, contratos y términos de uso Prácticas 30 comunes Guías OCDE 31 Reglamento 32 EU X BCR 33 Puerto Seguro EEUU - UE APEC CBPR X X X X X X X X X X X X X X X X X X X X X X X X X 29 X X X X 34 Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ Mantener guiones para uso de los empleados para dar a conocer el aviso de privacidad Mantener un aviso de privacidad para el tratamiento de datos personales de empleados Mantener certificaciones de privacidad o sellos de confianza para incrementar la confianza de los clientes Proveer capacitaciones en protección de datos a las personas (ej. para prevenir el robo de identidad) 9. Mantener procedimientos para peticiones, quejas y reclamos y ejercicio de derechos Mantener procedimientos para atender peticiones, quejas y reclamos Mantener procedimientos para dar respuesta a solicitudes de acceso Mantener procedimientos para responder a solicitudes de actualización o revisión de datos personales Mantener procedimientos para contestar solicitudes de eliminación de información de una base de datos (opt-out) Mantener procedimientos para dar respuesta a solicitudes de información Mantener preguntas y respuestas frecuentes para clientes Mantener procedimientos para el escalamiento de quejas o solicitudes de acceso complejas Mantener procedimientos para analizar el fondo y las razones de las quejas de protección de datos Mantener mediciones para quejas en materia de protección de datos (ej. número, motivos recurrentes) 10. Monitorear las nuevas prácticas operacionales Mantener un marco de Privacidad por Diseño para todos los sistemas y productos que se desarrollen Mantener guías y formatos para las Evaluaciones de Impacto de Privacidad (PIA por sus siglas en inglés) Llevar a cabo PIA para nuevos programas, sistemas y procesos Mantener un procedimiento para enfrentar problemas de protección de datos detectados durante las PIA Mantener un procedimiento de autorización o visto bueno que involucre al Área de Protección de Datos Mantener procesos de ciclo de vida del producto para hacer frente a los impactos en materia de protección de datos que generen los cambios a programas, sistemas o procesos existentes Mantener mediciones para las PIA (ej. número de Prácticas 30 comunes Guías OCDE 31 Reglamento 32 EU BCR 33 Puerto Seguro EEUU - UE APEC CBPR X X X X X X X X X X X X X X X X X X X X X X X X X X 30 34 Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ evaluaciones completadas, tiempos de respuesta) 11. Mantener un programa efectivo de gestión de incidentes y vulneraciones de datos Mantener un protocolo documentado de respuesta a incidentes/brechas de datos personales Mantener notificaciones sobre los incidentes (a los titulares afectados), reportes (a las autoridades de protección de datos, centrales de riesgo, policía, etc.) y protocolos Mantener un registro de incidentes para rastrear su naturaleza/tipo Mantener mediciones de incidentes/brechas de datos personales (ej. naturaleza del incidente, riesgo, causa) Llevar a cabo pruebas periódicas a los protocolos de seguridad, documentar los hallazgos y los cambios aplicados Involucrar a un proveedor de respuestas de incidentes Involucrar a un equipo de investigación forense Obtener un seguro con cobertura de incidentes de datos personales Mantener un protocolo de preservación de registros para proteger el histórico de información 12. Monitoreo de prácticas de manejo de datos Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos Llevar a cabo auditorías/análisis a la medida con base en quejas, requerimientos e incidentes/brechas Llevar a cabo auditorías/análisis del programa de protección de datos fuera del Área de Protección de Datos (ej. auditorías internas) Hacer un benchmark de los resultados de las auditorías/análisis (ej. comparación con auditorías previas, comparación con otras unidades de negocio) Llevar a cabo revisiones frecuentes e integrales de los procedimientos Llevar a cabo evaluaciones haciendo uso de terceros verificadores Mantener mediciones del programa de protección de datos 13. Seguimiento a criterios externos Llevar a cabo investigaciones continuas sobre cambios regulatorios Mantener una suscripción a un servicio de reporte de cumplimiento o a una actualización de una firma de abogados para mantenerse informado sobre nuevos desarrollos Asistir/participar en conferencias de protección de datos, Prácticas 30 comunes Guías OCDE 31 Reglamento 32 EU BCR 33 Puerto Seguro EEUU - UE X X X X X X X X X X X X X X X X X APEC CBPR X X X X 31 34 Marco NYMITY de Gobernanza en Privacidad y Protección 29 de Datos ™ eventos de asociaciones de industrias o grupos de expertos Registrar/reportar sobre el seguimiento de nuevas fuentes de información legal o enmiendas a la fuente actual Buscar la opinión de abogados expertos en relación con nuevas disposiciones de la ley Documentar la implementación de nuevos requerimientos (así como la decisión de no implementar ningún cambio, incluyendo las razones de dicha decisión) Revisar o participar en estudios relativos a mejores prácticas para el sistema de gestión de protección de datos Prácticas 30 comunes Guías OCDE 31 Reglamento 32 EU BCR 33 Puerto Seguro EEUU - UE X 32 APEC CBPR 34 Caso de Negocio para consecución de recursos en una Estrategia Gerenciada de Protección de Datos La Estrategia Gerenciada de Protección de Datos requiere que los recursos le sean suministrados a los dueños de cada actividad. Las Actividades de Gestión de Información Fundamentales que estén implementadas deben mantenerse, lo cual requiere de recursos suficientes, y las no implementadas deben dotarse de recursos para alcanzar y mantener un programa de protección de datos basado en la estrategia gerenciada. El caso de negocio para la estrategia gerenciada es relativamente sencillo. El Área de Protección de Datos justifica los recursos para mantener un mínimo de Actividades de Gestión de Información que son identificadas por el Área de Protección de Datos como obligatorias para esa organización. Entre otras, estas actividades pueden ser obligatorias por las siguientes razones: 1. Cumplimiento legal: para poder cumplir con la ley y con las expectativas de las Autoridades de Protección de Datos; 2. Gestión de Riesgos: para gestionar el riesgo de protección de datos (riesgo de protección de datos ), o 3. Objetivos de negocios: para alinearse con los objetivos clave del negocio. 2. Estrategia Avanzada de Protección de Datos Personales La Estrategia Avanzada de Protección de Datos se cimienta sobre la Estrategia Gerenciada, pero va más allá de los mínimos e incorpora también Actividades de Gestión de Información adicionales a lo largo de la organización, incluyendo actividades que no son fundamentales. El Área de Protección de Datos en estas organizaciones empezará por definir las actividades fundamentales tal como se definió en la sección anterior para la Estrategia Gerenciada. Después de esto se aumentará el programa de protección de datos con actividades no fundamentales. Las organizaciones que escogen esta aproximación generalmente pueden tener: 1. Un nivel alto de riesgo asociado a su actividad; 2. Una cultura de cumplimiento legal, y una baja tolerancia al riesgo, o 3. Han tenido un incidente de seguridad grave o han estado sujetos a una acción de supervisión por parte de la APD. Actividades de Gestión de Información Electivas En la Estrategia Gerenciada se discutió cómo determinar si una Actividad de Gestión de Información es o no fundamental. En la Estrategia Avanzada, las Actividades de Gestión de Información no fundamentales que son deseadas, planificadas e implementadas se denominan actividades electivas. Las actividades electivas son actividades que van más allá del mínimo requerido para el cumplimiento legal y la gestión del riesgo. Son las actividades que la organización ha elegido implementar para reforzar la protección de datos personales a lo largo de la organización. Las actividades electivas son aquellas que van más allá del mínimo requerido para cumplir con la ley y con una adecuada gestión del riesgo. Son actividades que la organización ha escogido implementar para incorporar una mejor gestión en protección de datos a lo largo de la organización. 33 Las actividades pueden ser electivas (no fundamentales) porque no están directamente relacionadas con el cumplimiento legal o con factores de riesgo tal como la actividad Llevar a cabo un día/semana anual de protección de datos (PGD 5), o porque son sofisticadas tal como Mantener mediciones del programa de protección de datos (PGD 12). La siguiente tabla contiene ejemplos de Actividades de Gestión de Información fundamentales y electivas que son usuales en algunos sectores e industrias seleccionadas. Industria/Sector Educación Servicios Financieros Salud Juegos y azar Manufacturas Sin ánimo de lucro/ONG Farmacéuticas Sector público Retail Telecomunicaciones Ejemplos de Actividades Fundamentales Mantener procedimientos para dar respuesta a solicitudes de acceso (PGD 9) Ejemplos de Actividades Electivas Exigir terminar la capacitación en protección de datos como parte de las revisiones de desempeño (PGD 5) Mantener notificaciones sobre los incidentes (PMP 11) Mantener mediciones de (a los titulares afectados), reportes (a las incidentes/brechas de datos personales (ej. autoridades de protección de datos, naturaleza del incidente, riesgo, causa) (PGD centrales de riesgo, policía, etc.) y 11) protocolos (PGD 11) Mantener medidas de seguridad Mantener preguntas y respuestas frecuentes administrativas y técnicas para encriptar los para clientes (PGD 9) datos almacenados y las transmisiones, incluyendo medios extraíbles (PGD 6) Integrar la protección de datos en las Obtener un seguro con cobertura de prácticas de uso de sistemas de videoincidentes de datos personales (PGD 11) vigilancia (PGD 4) Llevar a cabo el análisis de debida diligencia Integrar la protección de datos en las (due diligence) de las prácticas sobre prácticas de salud y seguridad (PGD 4) protección de datos y seguridad de la información de los potenciales proveedores/encargados (PGD 7) Poner a disposición un aviso de privacidad Asistir/participar en conferencias de en todos los puntos en los que se recolecte protección de datos, eventos de información personal (PGD 8) asociaciones de industrias o grupos de expertos (PGD 13) Integrar la protección de datos en las Llevar a cabo evaluaciones haciendo uso de prácticas de investigación (PGD 4) terceros verificadores (PGD 12) Registrar las bases de datos ante la Integrar la protección de datos en las autoridad de protección de datos (cuando la prácticas de redes sociales (PGD 9) inscripción sea necesaria) (PGD 9) Integrar la protección de datos en las Integrar la protección de datos en las prácticas de marketing vía correo prácticas de publicidad conductual electrónico (PGD 4) (behavioural advertising) (PGD 4) Mantener políticas/procedimientos para Integrar la protección de datos en las tratamientos secundarios de datos políticas/procedimientos BYOD (por sus personales (PGD 4) siglas en inglés “Bring your own device” – dispositivos personales en el lugar de trabajo) (PGD 4) Tabla 3: Ejemplos de Actividades de Gestión de Información Fundamentales y Electivas Caso de negocio para conseguir recursos para una Estrategia Avanzada de Protección de Datos Como se discutió arriba, el caso de negocio asociado a una Estrategia Gerenciada de Protección de Datos es relativamente sencillo pues se relaciona de manera directa con el cumplimiento legal y la gestión de riesgos, pero el caso 34 de negocio para que los dueños de las diferentes actividades puedan implementar y mantener actividades electivas de protección de datos personales muchas veces es más difícil de justificar, especialmente cuando los recursos son limitados. El caso de negocio para una Estrategia Avanzada de Protección de Datos incluye: 1. La reducción adicional del riesgo; 2. El establecimiento de una cultura de protección de datos o la consecución de un “programa ejemplar” de protección de datos personales. 3. La integración completa de la protección de datos personales en todos los productos y desarrollos de programa para gestionar mejor el riesgo de protección de datos; 4. Hacer de la protección de datos personales un diferenciador de competitividad; por ejemplo para los encargados que gestionan procesos tercerizados que quieren ir más allá de los requerimientos impuestos por el cliente, y 5. Para preparar a la organización para un mecanismo de Normas Corporativas Vinculantes (BCR), APEC, CBPR, o cualquier otro mecanismo opcional de transferencia de datos personales que vaya más allá del cumplimiento legal. 3. Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability) La Responsabilidad Demostrada implica el reporte permanente del mantenimiento y estado de las Actividades de Gestión de Información, soportado por evidencia concreta. Las Actividades de Gestión de Información se determinan con base en la estrategia gerenciada o la estrategia avanzada que se describieron anteriormente. Demostrar el cumplimiento es el paso siguiente, e involucra contextualizar la evidencia contra una serie de reglas legales. La Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability) es para las organizaciones que tienen una necesidad de negocio para justificar el tener que estar preparadas para probar su nivel de responsabilidad y/o cumplimiento legal incluyendo: 1. Prepararse para una investigación administrativa mediante la recopilación de evidencia constante sobre el estado del programa de protección de datos; 2. Cumplir con requerimientos actuales o futuros que impliquen probar la responsabilidad demostrada, por ejemplo el artículo 22 de la propuesta de Reglamento de Protección de Datos de la UE o las disposiciones del Decreto 1377 de 2013 en Colombia. 3. Cumplir con el requerimiento de las BCR europeas de monitorear el cumplimiento de las reglas fijadas y tener los resultados de ese monitoreo disponibles para las Autoridades de Protección de Datos quienes podrán solicitarlo en cualquier momento ; 4. Alcanzar los estándares fijados por las Autoridades de Protección de Datos, por ejemplo en guías sobre responsabilidad demostrada como las publicadas por Canadá, Hong Kong, Francia, Australia, y Colombia 35 ; 5. Prepararse para una auto certificación bajo el marco del Acuerdo de Puerto Seguro de EE.UU – UE o prepararse para una auditoría externa; 6. Bajar los costos de las auditorías externas por medio de la recopilación anticipada de documentación e información para presentar a los auditores: 7. Mantener documentación para los sellos de confianza y buenas prácticas (o de accountability agents en las economías participantes del marco de protección de datos de APEC); 35 Ver sección 2 de este estudio 35 8. Alcanzar un elemento de competitividad diferenciador, por ejemplo para los proveedores de servicios tercerizados que quieren demostrar ante sus clientes que cuentan con un estándar de responsabilidad demostrada; 9. Proveer mecanismos de reporte para los distintos niveles en la compañía: resúmenes ejecutivos para la alta dirección y reportes detallados para las áreas operativas y de control interno, y 10. Demostrar el liderazgo mediante la implementación de un programa de alto nivel. La documentación como evidencia El aspecto más poderoso de la Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability) es que la documentación que se usará como evidencia se genera como un sub-producto de la implementación de las Actividades de Gestión de Información. En las secciones anteriores, se discutió qué actividades implementar y como priorizarlas en las estrategias gerenciadas y avanzadas. Una vez se implementa una actividad, no hay ninguna necesidad de que el Área de Protección de Datos o la unidad operativa produzcan documentos adicionales toda vez que cada Actividad de Gestión de Información, sea fundamental o electiva, produce su propia documentación. Esta estrategia tiene dos pasos: 1. Actualizar el Cuaderno de Trabajo llenando la columna de Evidencia, y 2. Demostrar la responsabilidad usando el Scorecard Nymity™ y, si resulta aplicable, demostrar el cumplimiento usando una Tabla de Interoperabilidad de Accountability y Cumplimiento. Como la documentación ya existe, los recursos adicionales requeridos para esta estrategia son mínimos comparados con la provisión de recursos hecha para el Programa de Protección de Datos en sí. La tabla de estado demuestra la responsabilidad Para implementar la Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability), el primer paso es proceder al llenado de la columna de Evidencia en el Cuaderno de Trabajo con toda la documentación disponible para mostrar que la actividad está implementada y mantenida. Esto ocurriría durante la Actividad de Gestión de Información Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos (PGD 12). Para las actividades implementadas la evidencia puede parecer obvia, pero incluso para las actividades planeadas y deseadas, probablemente habrá evidencia disponible, aun cuando a veces deba ser actualizada. Cuaderno de trabajo (ejemplo ilustrativo) Actividad de Gestión de Información Estado Dueño(s) Recursos para implementar Asignar responsabilidades por la adecuada gestión de datos personales en la alta dirección y en la gerencia (PGD1) Implementada Área de Protección de Datos Soporte de la Gerencia al Oficial de Protección de Datos Recursos para mantener % FTE para el rol de Oficial de Protección de Datos Caso de negocio Fundam ental? Descripción / Comentario Evidencia Asegurar la efectividad del programa Sí El Oficial de Protección de Datos es Juan Pérez, con nivel de VP y le reporta al Presidente de la compañía Descripción de las funciones del Oficial de Protección de Datos Organigramas Política de Protección de datos Esta tabla, una vez se llena completamente y se mantiene, le permite a la organización demostrar la responsabilidad. Representación gráfica de la demostración de responsabilidad con el Scorecard™ gratuito de Nymity 36 La herramienta gratuita de Nymity Data Privacy Accountability Scorecard (“Scorecard Nymity”) complementa el Cuaderno de Trabajo y es un marco pragmático, escalable, y basado en evidencias concretas que le permite a las organizaciones demostrar la responsabilidad mediante el monitoreo, las mediciones y el reporte derivado de las Actividades de Gestión de Información. Usando esta hoja de cálculo gratuita de Nymity 36, el Área de Protección de Datos y los dueños de cada actividad pueden responder “sí” o “no” a las preguntas de recopilación de evidencia que se relacionan con las Actividades de Gestión de Información. Con base en las respuestas, el score se calcula como un porcentaje de en la estrategia Gerenciada (porcentaje de las actividades fundamentales completadas, con evidencia) o porcentaje de la estrategia avanzada (porcentaje de las actividades electivas completadas, con evidencia). La aproximación del scorecard para mostrar gráficamente la demostración de responsabilidad se alinea con las Estrategias Gerenciadas y Avanzadas descritas anteriormente y le permite al Área de Protección de Datos comunicar el estado de su programa de protección de datos de manera permanente. Cuando se escoja una Estrategia Gerenciada (solo actividades fundamentales), el score de responsabilidad demostrada estará al mismo nivel o por debajo de la línea objetivo. Si se implementa una estrategia Avanzada, las actividades electivas llevarán el score por encima de la línea objetivo, bien sea como score potencial o porcentaje avanzado. Casi toda la información requerida para completar y mantener el scorecard se recoge durante la fase de autoevaluación: información sobre la implementación de las Actividades de Gestión de Información seleccionadas, dueños y evidencia disponible. El único requisito adicional es designar una frecuencia para cada Actividad de Gestión de Información (ej. anual o trimestral). El elemento de frecuencia es importante porque refuerza el compromiso de los dueños con las respectivas actividades a su cargo y promueve un mantenimiento proactivo de las Actividades de Gestión de Información. Para información adicional e instrucciones detalladas sobre el uso del Nymity Scorecard, por favor refiérase a nuestra publicación gratuita, A Privacy Office Guide to Demonstrating Accountability 37. Demostración del cumplimiento legal La documentación o evidencia recolectada para demostrar responsabilidad puede ser reutilizada para demostrar el cumplimiento legal cuando sea solicitado por una APD. Esta aproximación, que ya ha sido probada en la práctica, le permite al Área de Protección de Datos demostrar el cumplimiento de las leyes y regulaciones existentes usando la documentación existente. Para demostrar el cumplimiento legal, el Área de Protección de Datos crea una Tabla de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento para cada ley, regulación o marco aplicable como se pone de presente en el ejemplo descrito abajo. Esta tabla se crea primero analizando cada requerimiento de la ley y decidiendo si el requerimiento necesitaría Evidencia para demostrar el cumplimiento. Por ejemplo, la Ley de Protección de Datos del Reino Unido tiene 219 provisiones, pero solo 31 necesitan evidencia para demostrar el cumplimiento legal. Muchas provisiones de la ley no requieren evidencia, por ejemplo las definiciones y las provisiones que se encargan de señalar las funciones de las autoridades. Una vez se identifican las reglas que requieren evidencia se incluyen en la Tabla 36 37 https://www.nymity.com/data-privacy-resources/privacy-management-tools/accountability-scorecard-template.aspx https://www.nymity.com/data-privacy-resources/data-privacy-research/privacy-accountability-book.aspx 37 de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento y se alinean a las Actividades de Gestión de Información que se encuentran en el proceso de gestión de datos que mejor logre demostrar el cumplimiento. Después, la documentación usada para demostrar responsabilidad se alinea con las reglas legales que requieren evidencia. El último paso es entonces que el Área de Protección de Datos provea comentarios contextualizados que expliquen por qué la evidencia demuestra el cumplimiento. Tabla de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento El siguiente ejemplo ilustra cómo funciona la Tabla de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento para demostrar el cumplimiento con el Acuerdo de Puerto Seguro de EE.UU – UE. Esta misma aproximación puede funcionar con cualquier ley, regulación, código o estándar. Para usar la tabla, simplemente mapee la documentación identificada en el Cuaderno de Trabajo o en el Scorecard contra la Tabla de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento. Ambas tablas están estructuradas basadas en los 13 Procesos de Gestión de Datos de forma que el proceso es más sencillo que si se optara por crear conjuntos racionalizados de reglas. Por ejemplo, si la actividad Poner a disposición un aviso de privacidad en todos los puntos en los que se recolecte información personal (PGD 8) se implementa, la evidencia podría incluir un aviso de privacidad, una minuta para páginas web donde se requiera un link al aviso en todas las páginas donde se recolectan datos personales, una aplicación móvil que incluya un aviso de privacidad o el texto de los formularios que se entregan a los titulares para ser completados por estos. Toda esta evidencia se mapea contra el Proceso de Gestión de Datos No. 8 Mantener Avisos de Privacidad y puede entonces ser usado para demostrar cumplimiento con el requisito de hacer disponible un aviso de privacidad que está incluido como principio rector en el Acuerdo de Puerto Seguro. Probablemente la misma evidencia será usada para demostrar cumplimiento con más de un requerimiento legal dentro de una Fuente legal, y dentro de varias fuentes distintas. Acuerdo de Puerto Seguro EE.UU – UE 21 de 23 Reglas requieren evidencia 1. Mantener una estructura de gobernanza Ninguna regla dentro de este proceso requiere evidencia 2 Mantener un inventario de datos personales FAQ #6 – Auto- certificación 3 Mantener una política de protección de datos personales FAQ #1 – Datos sensibles FAQ #4 – Banca de inversión y auditorías 4 Integrar la protección de datos en las operaciones Integridad de los datos 5 Mantener un programa de capacitación y concientización Ninguna regla dentro de este proceso requiere evidencia 6 Manejo de riesgos de seguridad de la información Seguridad 7 Administración de riesgos con terceros Transferencias FAQ#10 – Contratos del Artículo 17 8 Mantener avisos de privacidad Evidencia Comentarios contextuales N/A N/A 38 Acuerdo de Puerto Seguro EE.UU – UE 21 de 23 Reglas requieren evidencia Aviso Consentimiento FAQ#9 – Recursos humanos FAQ#12 – Consentimiento – Momento para Opt Out FAQ#13 – Información de viaje FAQ#14 – Productos médicos y farmacéuticos 9 Mantener procedimientos para peticiones, quejas y reclamos y ejercicio de derechos Acceso Acciones de enforcement FAQ#8 – Acceso FAQ#9 – Recursos humanos FAQ#11 – Mecanismos de resolución de controversias y enforcement FAQ#14 - Productos médicos y farmacéuticos 10 Monitorear las nuevas prácticas operacionales Ninguna regla dentro de este proceso requiere evidencia 11 Mantener un programa efectivo de gestión de incidentes y vulneraciones de datos Ninguna regla dentro de este proceso requiere evidencia 12 Monitoreo de prácticas de manejo de datos Acciones de enforcement FAQ#7 – Verificación 13 Seguimiento a criterios externos Ninguna regla dentro de este proceso requiere evidencia Evidencia Comentarios contextuales N/A N/A N/A Tabla 4: Ejemplos de Tabla de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento Beneficios adicionales de una demostración gráfica de la responsabilidad desde el punto de vista de la gestión de datos personales La Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability) tiene muchas ventajas para la gestión de la información personal en las organizaciones. Por ejemplo: • • • • Ayuda a asegurar que las Actividades de Gestión de Información implementadas sean continuamente mantenidas. Tener una representación visual del Programa de Protección de Datos es una forma efectiva de comunicarle las necesidades a la Alta Dirección y puede justificar una inversión de recursos adicionales inclusive si el individuo no es un experto en protección de datos personales. Tener un repositorio central de evidencias y de información acerca del Programa de Protección de Datos es útil para gerenciar un equipo o una red dentro de la organización con responsabilidades en materia de protección de datos. La recolección de información y de evidencia es un mecanismo que facilita la asignación de responsabilidades a las unidades de negocio pero que al mismo tiempo permite una comunicación fluida con el Área de Protección de Datos. El hecho de que las áreas y unidades de negocio asuman responsabilidades y un compromiso con 39 • alcanzar un estándar de responsabilidad demostrada es clave para desarrollar una verdadera cultura de protección de datos a lo largo de toda la organización. Reduce la carga operativa a las áreas y unidades de negocio. La forma sencilla de aproximarse a la recolección de evidencia que utiliza el scorecard reduce de manera significativa el tiempo y la energía invertida por las unidades operacionales para apoyar al Área de Protección de Datos, y por tanto es un buen motivador para participar. Caso de negocio para obtener recursos en una Estrategia de Cumplimiento Legal y Responsabilidad Demostrada Los recursos requeridos para demostrar la responsabilidad como respuesta a un requerimiento de una APD son relativamente bajos toda vez que la documentación ya existe como un subproducto de las Actividades de Gestión de Información implementadas como parte de las estrategias gerenciadas y avanzadas. Sus beneficios incluyen: 1. Prepararse para una investigación administrativa mediante la recopilación de evidencia constante sobre el estado del programa de protección de datos; 2. Cumplir con requerimientos futuros que impliquen probar la responsabilidad demostrada, por ejemplo el artículo 22 de la propuesta de Reglamento de Protección de Datos de la UE o las disposiciones del Decreto 1377 de 2013 en Colombia; 3. Cumplir con el requerimiento de las BCR europeas de monitorear el cumplimiento de las reglas fijadas y tener los resultados de ese monitoreo disponibles para las Autoridades de Protección de Datos quienes podrán solicitarlo en cualquier momento; 4. Alcanzar los estándares fijados por las Autoridades de Protección de Datos, por ejemplo en guías sobre responsabilidad demostrada como las publicadas por Canadá, Hong Kong, Francia, Australia, y Colombia 38 ; 5. Prepararse para una auto certificación bajo el marco del Acuerdo de Puerto Seguro de EE.UU – UE, o prepararse para una auditoría externa; 6. Bajar los costos de las auditorías externas por medio de la recopilación anticipada de documentación e información para presentar a los auditores: 7. Mantener documentación para los sellos de confianza y buenas prácticas (o de accountability agents en las economías participantes del marco de protección de datos de APEC); 8. Alcanzar un elemento de competitividad diferenciador, por ejemplo para los proveedores de servicios tercerizados que quieren demostrar ante sus clientes que cuentan con un estándar de responsabilidad demostrada; 9. Proveer mecanismos de reporte para los distintos niveles en la compañía: resúmenes ejecutivos para la alta dirección y reportes detallados para las áreas operativas y de control interno, y 10. Demostrar el liderazgo mediante la implementación de un programa de alto nivel. D. Tres formas de empezar Cuando estén seleccionando una estrategia de gestión de un Programa de Protección de Datos, no todos los Oficiales de Protección de Datos tendrán claridad sobre cuáles actividades seleccionar para poner en práctica. A continuación, se sugieren tres formas de priorizar las actividades con base en los recursos disponibles: Las tres formas son las siguientes: 38 Ver sección 2 Fundamentos de la Responsabilidad Demostrada (Accountability) 40 o o o Recursos Bajos– Política primero: Empiece con el desarrollo de una política de protección de datos que cobije a toda la organización 39, entrene a los empleados sobre sus obligaciones definidas por dicha política, comunique de manera efectiva las prácticas a los titulares de la información por medio de un aviso de privacidad 40 y establezca mecanismos de reporte a la gerencia y a la alta dirección. Una aproximación de Política-Primero encaja mejor en las organizaciones con pocos recursos disponibles. Recursos medios – Gobernanza primero: Empiece con las actividades que involucran elementos de gobierno corporativo, incluyendo la asignación formal de responsabilidades, procesos para interactuar con los titulares y con los encargados del tratamiento y mecanismos de aprobación y vistos buenos que involucren al Área de Protección de Datos. Una aproximación de Gobernanza-Primero encaja mejor en las organizaciones que tienen recursos medios. Recursos altos – Inventario primero: Empiece con las actividades que involucran más asignación de recursos como los inventarios completos de datos personales en las organizaciones, y el diseño de políticas y procedimientos que estén distribuidos en todas las áreas específicas de la organización, evaluaciones de riesgo en protección de datos personales y PIA para el nuevo Programa de Protección de Datos, sistemas y procesos. Esta aproximación es la más recomendada en la literatura y los materiales de entrenamiento de protección de datos en la medida que no toma en cuenta las limitaciones que pueden existir en cuanto a disponibilidad de recursos. Estas tres formas de empezar se aplican a organizaciones de todos los tamaños y de todos los sectores e industria a través de diferentes jurisdicciones. La tabla siguiente resume tres maneras de seleccionar actividades para comenzar con una estrategia de protección de datos. La descripción de las Actividades de Gestión de Información identificadas dentro de cada una se incluye en detalle abajo. Nótese que las actividades en gris denotan Actividades de Gestión de Información que ya fueron incluidas porque se adelantaron como parte de las aproximaciones de Política-Primero o Gobernanza-Primero, y que también forman parte de la aproximación de Inventario-Primero, toda vez que cada forma de empezar se basa sobre la aproximación anterior. Política Primero Recursos Bajos Asignar responsabilidades por la adecuada gestión de datos personales en la alta dirección y en la gerencia Consultar al interior de la organización con las partes interesadas en protección de datos 39 Gobernanza Primero Recursos Medios Inventario Primero Recursos Altos Asignar responsabilidades por la adecuada gestión de datos personales en la alta dirección y en la gerencia Asignar responsabilidades por la adecuada gestión de datos personales en la alta dirección y en la gerencia Consultar al interior de la organización con las partes interesadas en protección de datos Consultar al interior de la organización con las partes interesadas en protección de datos Reportar periódicamente sobre el estado del programa de protección de datos (ej. Asamblea de Accionistas, Reportar periódicamente sobre el estado del programa de protección de datos (ej. Asamblea de Accionistas, En algunas jurisdicciones es común referirse al aviso de protección de datos que se pone a disposición del público como una política de protección de datos o política de privacidad; sin embargo, Nymity hace referencia a ella como un Aviso de Privacidad. Cuando hacemos referencia a una política de protección de datos, se refiere al documento interno que guía a los empleados sobre el tratamiento y la protección de la información personal en manos de la organización. 40 Un Aviso de Privacidad es un documento dirigido a los usuarios externos usado para comunicar a los titulares y a otras partes interesadas elementos contenidos en la política de Protección de Datos de la organización. 41 Política Primero Recursos Bajos Reportar periódicamente sobre el estado del programa de protección de datos (ej. Asamblea de Accionistas, Junta Directiva, Consejo de Administración) Gobernanza Primero Recursos Medios Junta Directiva, Consejo de Administración) Junta Directiva, Consejo de Administración) Asignar responsabilidades en materia de protección de datos a través de toda la organización Integrar la protección de datos en un Código de Conducta Mantener una política de protección de datos personales Integrar la protección de datos en un Código de Conducta Mantener un programa de capacitación básico para todos los empleados Sostener comunicaciones regulares entre las personas a cargo y responsables de protección de datos Mantener un aviso de privacidad que detalle las políticas de la organización en el manejo de los datos personales Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos Llevar a cabo investigaciones continuas sobre cambios regulatorios Inventario Primero Recursos Altos Mantener una política de protección de datos personales Mantener procedimientos para atender peticiones, quejas y reclamos Mantener un programa de capacitación básico para todos los empleados Proporcionar educación continuada y entrenamiento al personal del Área de Protección de Datos (ej. conferencias, webinars, invitar conferencistas) Integrar la protección de datos en otros programas de capacitación, tales como los entrenamientos de recursos humanos, seguridad, centro de llamadas (call center) o ventas Mantener requerimientos de protección de datos personales con terceros (proveedores, encargados, afiliados) Mantener un aviso de privacidad que detalle las políticas de la organización en el manejo de los datos personales Mantener un procedimiento de autorización o visto bueno que involucre al Área de Protección de Datos Asignar responsabilidades en materia de protección de datos a través de toda la organización Sostener comunicaciones regulares entre las personas a cargo y responsables de protección de datos Realizar una Evaluación Corporativa de Riesgo en materia de protección de datos Mantener una estrategia que alinee las actividades con los requisitos legales (ej. resolución de conflictos, diferencias en estándares, creación de conjuntos de reglas racionalizadas) Integrar la protección de datos en las evaluaciones y reportes de gestión de riesgos del negocio Mantener un inventario de las principales bases de datos (qué datos personales son almacenados y en dónde) Mantener una política de protección de datos personales Mantener un programa de capacitación básico para todos los empleados Proporcionar educación continuada y entrenamiento al personal del Área de Protección de Datos (ej. conferencias, webinars, invitar conferencistas) Integrar la protección de datos en otros programas de capacitación, tales como los entrenamientos de recursos humanos, seguridad, centro de llamadas (call center) o ventas Mantener requerimientos de protección de datos personales con terceros (proveedores, encargados, 42 Política Primero Recursos Bajos Gobernanza Primero Recursos Medios Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos Llevar a cabo investigaciones continuas sobre cambios regulatorios Inventario Primero Recursos Altos afiliados) Llevar a cabo el análisis de debida diligencia (due diligence) de las prácticas sobre protección de datos y seguridad de la información de los potenciales proveedores/encargados Mantener un aviso de privacidad que detalle las políticas de la organización en el manejo de los datos personales Mantener procedimientos para atender peticiones, quejas y reclamos Mantener procedimientos para dar respuesta a solicitudes de acceso Mantener un procedimiento de autorización o visto bueno que involucre al Área de Protección de Datos Llevar a cabo PIA para nuevos programas, sistemas y procesos Mantener un marco de Privacidad por Diseño para todos los sistemas y productos que se desarrollen Mantener un protocolo documentado de respuesta a incidentes/brechas de datos personales Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos Llevar a cabo auditorías/análisis del programa de protección de datos fuera del Área de Protección de Datos (ej. auditorías internas) Llevar a cabo investigaciones continuas sobre cambios regulatorios Política Primero– Recursos bajos Empiece con el desarrollo de una política de protección de datos que cobije a toda la organización, entrene a los empleados sobre sus obligaciones definidas por dicha política, comunique de manera efectiva las prácticas a los titulares 43 de la información por medio de un aviso de privacidad y establezca mecanismos de reporte a la gerencia y a la alta dirección. Actividad de Gestión de Información Asignar responsabilidades por la adecuada gestión de datos personales en la alta dirección y en la gerencia (PGD 1) Consultar al interior de la organización con las partes interesadas en protección de datos (PGD 1) Dueño(s) Recursos para implementar /Mantener Área de Protección de Datos Altos para implementar / Altos para mantener Área de Protección de Datos Muchas veces denominado Oficial de Protección de Datos, el individuo al que se le asigna responsabilidad por la protección de datos en la organización debe estar en un nivel suficientemente senior para asegurar que tenga el poder suficiente para llevar a cabo iniciativas de protección de datos relevantes para la empresa. Nombrar a un individuo con estas responsabilidades generalmente requiere del apoyo (tanto político-organizacional como económico) de un gran número de partes interesada claves (stakeholders). En algunas organizaciones el Oficial de Protección de Datos será un rol de tiempo parcial (a veces compartido con el área legal, de seguridad de la información o de cumplimiento o control interno). Bajos para implementar / Bajos para mantener Consultar al interior de la organización con las partes interesadas (stakeholders) debe incluir una comunicación en dos vías entre el Área de Protección de Datos y las unidades de negocio y operativas. El Área de Protección de Datos le informa a las partes interesadas sobre los nuevos desarrollos y obtiene información sobre nuevas iniciativas que involucren el uso de datos personales. Esta actividad es importante y relativamente fácil de implementar, aunque sí requiere de un Oficial de Protección de Datos proactivo para que esté llamada a prosperar. Este es un buen ejemplo de una actividad que dejará de ser efectiva si no se mantiene. Si se hace de manera correcta, ayudará a asegurar que el Programa de Protección de Datos se implemente en la práctica y ayudará a que se asignen recursos adicionales para expandir el Programa de Protección de Datos. También le ayudará al Oficial de Protección de Datos a estar al tanto de los cambios en el negocio que impacten el Programa. Reportar periódicamente sobre el estado del programa de protección de datos (ej. Asamblea de Área de Protección de Datos Generalmente, esta actividad está soportada por la actividad Mantener una suscripción a un servicio de reporte de cumplimiento o a una actualización de una firma de abogados para mantenerse informado sobre nuevos desarrollos (PGD 13), toda vez que la naturaleza proactiva típicamente está sujeta a nuevos desarrollos en las normas de protección de datos tales como nuevas guías o decisiones de las Autoridades de Protección de Datos que sean relevantes para la organización. Bajos para implementar / Bajos para mantener Los reportes regulares a las partes interesadas clave (stakeholders) son muy importantes para mantener un Programa de Protección de Datos efectivo, y 44 Actividad de Gestión de Información Accionistas, Junta Directiva, Consejo de Administración) (PGD 1) Mantener una política de protección de datos personales (PGD 3) Dueño(s) Recursos para implementar /Mantener son el primer paso para justificar una inversión adicional. Puede hacerse por un costo relativamente bajo el supuesto de que es una simple comunicación. Los reportes pueden hacerse como resúmenes ejecutivos a la Junta Directiva o a la Alta Dirección o pueden ser reportes detallados a la gerencia dentro de las unidades de negocio. Área de Protección de Datos Generalmente esta actividad está soportada por la actividad Llevar a cabo investigaciones continuas sobre cambios regulatorios (PGD 13) pues los reportes muchas veces incluyen actualizaciones de las normas, eventos significativos como incidentes de seguridad o proyectos importantes y Mantener mediciones del programa de protección de datos (PGD 12) (si están disponibles). El reporte puede ser entregado personalmente como un ítem de la agenda en reuniones periódicas o distribuido a través del correo electrónico. Medios para implementar / Bajos para mantener La política de protección de datos es un documento interno creado como guía para el personal en la organización que realiza tratamientos de información personal. La política formaliza la posición de la organización con respecto a la protección de los datos personales. Es un primer paso muy importante puesto que es un requisito previo para ser capaz de comunicar las expectativas y ganarse el apoyo de los directivos. Implementar una política de protección de datos requiere una cantidad de pasos y puede ser considerado un esfuerzo mediano. El Área de Protección de Datos puede optar por redactar la política desde ceros o empezar con un modelo y ajustarlo de forma que refleje las necesidades únicas del negocio. La política debe tomar en cuenta los requerimientos de ley así como el ambiente de negocios. El Área de Protección de Datos debe entonces socializar la política con las partes interesadas dentro de la organización, asegurándose de que esta llegue a todas las áreas. Algunas organizaciones también deben Obtener la aprobación de la política de protección de datos por parte de la Alta Dirección (PGD 3). Después debe comunicarse al personal para que estén al tanto de sus obligaciones bajo la política. Mantener un programa de capacitación básico para todos los empleados (PGD 5) Área de Protección de Datos Un mantenimiento permanente de la política requiere recursos relativamente bajos. Muchas organizaciones simplemente la revisan cada uno o dos años o en respuesta a eventos tales como un nuevo requerimiento legal o una restructuración de la empresa. Medios para implementar / Bajos para mantener Una capacitación básica en protección de datos puede ser un recurso muy efectivo para eliminar los riesgos asociados a la gestión de información personal. Los empleados deben ser entrenados sobre conceptos básicos de protección de datos, no sólo los principios y requerimientos, sino sobre cómo aplicarlos en la práctica. Crear un entrenamiento en protección de datos requiere de tiempo y habilidades de comunicación y herramientas, 45 Actividad de Gestión de Información Dueño(s) Recursos para implementar /Mantener pero no necesariamente tiene que ser excesivamente sofisticado para ser efectivo. Para las organizaciones más pequeñas, el Oficial de Protección de Datos puede hacer las capacitaciones directamente y en las organizaciones más grandes puede hacerse en línea. Mantener un aviso de privacidad que detalle las políticas de la organización en el manejo de los datos personales (PGD 8) Área de Protección de Datos Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos (PGD 12) Área de Protección de Datos Llevar a cabo investigaciones continuas sobre cambios regulatorios (PGD 13) Área de Protección de Datos Una capacitación efectiva de los empleados puede llevar tiempo y ser el componente que más recursos demanda en una aproximación de Política – Primero, pero es una manera probada de reducir el riesgo de la organización. Bajos para implementar /Bajos para mantener El objetivo de un aviso de privacidad es informarles a los titulares qué información se está recogiendo, cómo se trata y cuáles son sus derechos. El foco más importante para el Área de Protección de Datos es que el aviso sea preciso y fácil de entender, por ejemplo, evitando los términos legales farragosos. Debe estar escrita en un nivel suficientemente alto para que los pequeños cambios en los procesos de negocios no hagan necesarias las actualizaciones constantes, pero suficientemente específica para informar bien a los titulares. Desarrollar un Aviso de Privacidad requiere un entendimiento de cómo la organización trata la información. Hay una serie de modelos y ejemplos disponibles para ayudarle al Oficial de Protección de Datos a empezar, pero es crítico que el aviso refleje de manera precisa los procesos reales de la organización. Medianos para implementar/ Medianos para mantener La sección 3A describe el proceso para llevar a cabo y mantener una autoevaluación. Gran parte de esta actividad puede ser hecha por el Área de Protección de Datos, pero requiere participación de las partes interesadas en las unidades operativas y de negocio. Como se mencionó arriba, los procesos y sistemas que contienen datos personales probablemente no tienen como dueño al Área de Protección de Datos y más bien son responsabilidad de departamentos tales como Recursos Humanos, Marketing, TI, Servicio al Cliente u otras unidades de negocio. Llevar a cabo la actividad por primera vez muchas veces es intensivo en recursos pero los recursos requeridos para mantenerla empiezan a disminuir en cuanto el Área de Protección de Datos y las unidades de negocio se familiarizan con el proceso. Medianos para implementar/Bajos para mantener Como se describe arriba en más detalle, el proceso para adelantar investigaciones permanentes sobre nuevos desarrollos legales puede hacerse mediante una investigación informal o por medio de suscripciones a motores de búsqueda o a boletines de firmas de abogados o de asociaciones profesionales. La mayoría de las organizaciones que gestionan un programa 46 Actividad de Gestión de Información Dueño(s) Recursos para implementar /Mantener a través de múltiples jurisdicciones optan por Mantener una suscripción a un servicio de reporte de cumplimiento o a una actualización de una firma de abogados para mantenerse informado sobre nuevos desarrollos (PGD 13). El proceso de identificar las leyes aplicables y entender las expectativas de las Autoridades de Protección de Datos puede requerir muchos recursos en un principio pero en la medida que el monitoreo sea constante, mantener la actividad requerirá de menos recursos que los inicialmente invertidos. Gobernanza Primero– Recursos medianos Construido sobre la base de la aproximación de Política-Primero, la aproximación basada en gobernanza corporativa incluye la asignación formal de responsabilidad, los procesos para interactuar con los titulares de la información y los encargados del tratamiento así como entrenamiento de segundo nivel. Actividad de Gestión de Información Asignar responsabilidades en materia de protección de datos a través de toda la organización (PGD 1) Dueño(s) Recursos para implementar/Mantener Área de Protección de Datos Altos para implementar / Medios para mantener Identificar a los individuos a través de toda la organización que tendrán responsabilidades en protección de datos (a tiempo parcial o completo) puede requerir muchos recursos para implementar. El rol debe definirse y las unidades operativas deben estar de acuerdo en asignar recursos tales como el tiempo de dichos individuos para que cumplan cabalmente con sus obligaciones. Una vez se ha establecido esa red interna, esta se mantiene y se introduce la actividad Sostener comunicaciones regulares entre las personas a cargo y responsables de protección de datos (PGD 1). El mantenimiento continuo de la red requerirá de recursos medios para asegurar que esté comprometida y activa a lo largo del tiempo. Integrar la protección de datos en un Código de Conducta (PGD 1) Área de Protección de Datos Sostener comunicaciones regulares entre las personas a cargo y responsables de protección de datos Área de Protección de Datos Bajos para implementar / Bajos para mantener Integrar la protección de datos en el Código de Conducta de la organización marca una pauta de alto nivel para todos los empleados y establece de manera clara la posición de la organización con relación a la protección de la información personal. Incluir dentro del Código una sección específica de protección de datos asegurará que reciba más visibilidad y sea un tema que reciba la importancia adecuada. Bajos para implementar / Bajos para mantener Muchas organizaciones desarrollan un “comité de protección de datos” que se reúne de manera periódica y está integrado por los sujetos interesados clave tales como los del área legal, de recursos humanos, archivo, marketing, TI, etc. El propósito de las reuniones es estar revisando 47 Actividad de Gestión de Información (PGD 1) Dueño(s) Proporcionar educación continuada y entrenamiento al personal del Área de Protección de Datos (PGD 5) Área de Protección de Datos Integrar la protección de datos en otros programas de capacitación, tales como los entrenamientos de recursos humanos, seguridad, centro de llamadas (call center) o ventas (PGD 5) Unidades operativas Mantener requerimientos de protección de datos personales con terceros (proveedores, encargados, afiliados) (PGD 7) Unidades operativas Recursos para implementar/Mantener regularmente las políticas así como otros proyectos o productos que tengan implicaciones en protección de datos. La reunión también puede usarse para asegurar que los entregables del Programa de Protección de Datos se ejecuten cumplidamente y que las acciones permanentes se monitoreen y reporten de manera correcta para asegurar el cumplimiento. Bajos- medianos para implementar /Bajos –medios para mantener Aunque puede sonar obvio, es importante destinar recursos para que el personal del Área de Protección de Datos se mantenga actualizado en conocimientos y mejores prácticas de la industria. Los costos asociados con asistir a conferencias y seminarios pueden ser bajos o medios pero también hay muchos recursos disponibles de manera gratuita. Medios para implementar /Medios para mantener Integrar la protección de datos en otros programas de capacitación tiene dos beneficios importantes: (i) apalanca los recursos existentes y (ii) permite hacer un mensaje a la medida basado en los roles del individuo. Si el Área de Protección de Datos puede hablarle de forma directa a un grupo tal como los nuevos asociados del departamento de recursos humanos, ellos podrán responder preguntas específicamente relacionadas con el tipo de tratamiento de datos que estarán haciendo y aprovechar el trabajo que ya viene haciendo el departamento. Lo mismo sucede con el entrenamiento en línea – si hay un módulo de protección de datos dentro del entrenamiento para los empleados del call center se genera un mayor impacto con menos inversión de recursos del Área de Protección de Datos. Bajos para implementar / Medios para mantener Una fuente típica de riesgo en protección de datos es el uso de encargados o proveedores. Muchas leyes exigen la elaboración de contratos formales entre las partes pero esto inclusive debería ser implementado aun cuando no sea un requisito legal por cuanto permite una mejor comunicación de los requerimientos y de las expectativas de la organización. Además, es un instrumento que permite tomar acciones legales si se presenta un incidente de seguridad o una violación a los términos contractuales. Volviendo atrás a la definición original de responsabilidad demostrada (mantener la responsabilidad incluso cuando se transfieren los datos) esta es una de las actividades más importantes para la organización. El Área de Protección de Datos debe entender el proceso existente para contratar con terceros (bien sea a través del departamento contractual o directamente desde las unidades de negocio) e integrar requerimientos de protección de datos a esas relaciones tercerizadas. Hacerlo puede requerir recursos bajos pero el mantenimiento consume recursos medios por cuanto el Área de Protección de Datos tendrá que hacer un monitoreo y un seguimiento a las posibles excepciones que se presenten. 48 Actividad de Gestión de Información Dueño(s) Recursos para implementar/Mantener Mantener un procedimiento de autorización o visto bueno que involucre al Área de Protección de Datos (PGD 10) Unidades operativas Medios para implementar / Bajos para mantener Tener en cuenta la protección de datos personales cuando se desarrollan nuevos sistemas y procesos, y cuando se hacen cambios en los existentes, es un paso clave para mitigar el riesgo. El Área de Protección de Datos debe educar a las partes interesadas en estos proyectos (tanto en sistemas de TI como en procesos de negocio) para identificar las áreas que puedan presentar riesgos de protección de datos, y después contactar al Área de Protección de Datos para evaluar los riesgos y recomendar formas para mitigarlo. Inventario Primero – Recursos Altos Construido sobre la base de las aproximaciones de Política – Primero y Gobernanza – Primero, la aproximación de Inventario – Primero incluye un inventario de todos los datos personales, políticas y procedimientos que están distribuidos por la organización. Esta aproximación normalmente es recomendada por la literatura y los textos disponibles sobre protección de datos en la medida en que no tiene en cuenta las restricciones presupuestales y de recursos. Actividad de Gestión de Información Realizar una Evaluación Corporativa de Riesgo en materia de protección de datos (PGD 1) Dueño(s) Recursos para implementar/ Mantener Área de Protección de Datos Altos para implementar / Medios para mantener Realizar una evaluación corporativa de riesgo en material de protección de datos personales, cuando se hace de manera correcta, es un ejercicio que demanda muchos recursos. Requiere de coordinación entre el Área de Protección de Datos y una cantidad de partes interesadas, incluyendo la alta dirección, los gerentes de las unidades operativas y posiblemente incluso a algunos terceros proveedores. Requiere además un conocimiento de las leyes y regulaciones en todas las jurisdicciones relevantes, así como las iniciativas de negocios actuales y planeadas en cada una de ellas. Aunque es un proyecto que consume muchos recursos, una evaluación corporativa de riesgo es una herramienta muy valiosa para el análisis y la comunicación y le ayuda al Área de Protección de Datos a alinearse con otras prioridades de la organización. La Evaluación de Riesgos debe ser mantenida y actualizada por lo menos de manera anual para que refleje el cambiante entorno corporativo de la organización. Mantener una estrategia que alinee las actividades con los requisitos legales (ej. resolución de Área de Protección de Datos Altos para implementar / Bajos para mantener Para las organizaciones que operan en múltiples jurisdicciones, manejar el cumplimiento de una variedad de requerimientos legales puede ser muy 49 Actividad de Gestión de Información conflictos, diferencias en estándares, creación de conjuntos de reglas racionalizadas) (PGD 1) Dueño(s) Recursos para implementar/ Mantener complejo. Muchas veces los requerimientos de las leyes de protección de datos concuerdan entre sí pero a veces ocurren conflictos (por ejemplo entre las normas de protección de datos y las regulaciones financieras). El Área de Protección de Datos debe identificar todos los requerimientos aplicables, mapearlos a las actividades determinadas y documentar las razones que dieron origen a las decisiones adoptadas en los casos en que se presentan conflictos. Muchas veces este ejercicio de mapeo se denomina “reglas racionalizadas” y requiere de muchos recursos para crearlas pero es relativamente bajo para mantener pues solo necesita ser actualizado cuando la ley cambia o cuando las nuevas leyes empiezan a ser aplicables (por ejemplo cuando la organización empieza una nueva área de negocio o lleva a cabo un proceso de expansión). Integrar la protección de datos en las evaluaciones y reportes de gestión de riesgos del negocio (PGD 1) Unidades operativas Medios para implementar / Altos para mantener Aunque una Evaluación Corporativa de Riesgos es realizada por el Área de Protección de Datos con insumos de otras partes interesadas, integrar la protección de datos a otras evaluaciones de riesgos de las áreas de negocios muchas veces es una actividad influenciada por el Área de Protección de Datos pero de la cual no es dueño. Esta actividad es aplicable cuando una actividad del negocio (como marketing u otros procesos que dependan del uso de datos personales) pueda ser impactada por cambios legislativos o cuando pueda resultar en un no cumplimiento y en sanciones. Muchas veces, las evaluaciones de riesgo en los negocios se enfocan en el impacto financiero y puede implicar un gran esfuerzo incluir los riesgos de protección de datos en el lenguaje y el formato usado para reportar los riesgos de negocio. Mantener un inventario de las principales bases de datos (qué datos personales son almacenados y en dónde) (PGD 2) Unidades operativas Altos para implementar / Altos para mantener Muchos textos y manuales de entrenamiento de protección de datos enseñan que el primer paso para proteger la información personal es conocer qué información se tiene y dónde está. En una organización pequeña o nueva, esto puede ser relativamente sencillo, pero para la mayoría de empresas es una tarea ardua. Para muchas organizaciones con sistemas antiguos o para aquellas que han evolucionado mucho a lo largo de los años, crear un inventario puede ser un proyecto millonario que tome muchos años. Una vez se completa el inventario, debe ser mantenido y actualizado con cada cambio que se haga en la forma de recolección, almacenamiento o transferencia de información. Muchas veces, las organizaciones que transfieren información a través de las fronteras, eligen Mantener diagramas de flujo para flujos de datos clave (ej. entre sistemas, entre procesos, entre países) (PGD 2), toda 50 Actividad de Gestión de Información Dueño(s) Llevar a cabo el análisis de debida diligencia (due diligence) de las prácticas sobre protección de datos y seguridad de la información de los potenciales proveedores/encargados (PGD 7) Unidades operativas Recursos para implementar/ Mantener vez que esto es requerido por algunas legislaciones. Altos para implementar / Altos para mantener Debido a los múltiples y muy publicitados incidentes de seguridad que han ocurrido por cuenta de terceros encargados, se ha dado gran importancia a la necesidad de adelantar procesos de debida diligencia, no solo en protección de datos sino también en otras disciplinas relacionadas. En la sección anterior, resaltamos la importancia de tener contratos escritos con cláusulas relacionadas con protección de datos personales y seguridad de la información. Esta actividad requiere muchos más recursos pues es necesario hacerle seguimiento para revisar que se hayan implementado los controles. Muchas organizaciones manejan este proceso mediante Mantener un procedimiento de evaluación de riesgos sobre protección de datos en los procesos con los proveedores (PGD 7) y enfocándose en aquellos proveedores que generan mayor riesgo. Mantener un marco de Privacidad por Diseño para todos los sistemas y productos que se desarrollen (PGD 10) Unidades operativas /Área de Protección de Datos Llevar a cabo PIA para nuevos programas, sistemas y procesos (PGD 10) Unidades Operativas /Área de Protección de Datos La decisión siempre debe ser adoptada por la gerencia, dado que implica una relación contractual, pero el Área de Protección de Datos le ayuda a entender el riesgo y si los controles implementados son apropiados. Para que sea efectivo, esto no solo debe hacerse al inicio de la relación con el proveedor. Por eso algunas organizaciones optan por Llevar a cabo análisis de debida diligencia (due diligence) continuos sobre las prácticas de protección de datos y seguridad de la información de proveedores/encargados con base en un análisis de riesgos (PGD 7). Altos para implementar / Altos para mantener La Privacidad por Diseño implica crear controles para todos los sistemas y productos desde el inicio o hacer un proceso de reingeniería para incorporar los controles y herramientas de protección de datos. Esto difiere de la actividad Llevar a cabo PIA para nuevos programas, sistemas y procesos (PGD 10) porque involucra incorporar elementos de protección de datos desde el proceso de diseño y desarrollo por oposición a una revisión en ciertos puntos críticos a lo largo del proceso. Como tal, puede consumir muchos recursos pues requiere que los ingenieros, gerentes de proyectos y dueños de productos tengan conocimientos de protección de datos o que un experto en protección de datos tenga mucha experiencia en desarrollo de productos y del proceso de desarrollo. Altos para implementar / Medios – altos para mantener Las Evaluaciones de Impacto de Privacidad (PIA), tal y como se describen en esta Actividad de Gestión de Información, se refieren a las evaluaciones hechas sobre proyectos o iniciativas individuales (al contrario de las PIA generales para toda la organización). En la medida en que son desplegadas como resultado de las nuevas iniciativas en las unidades operativas y de negocio (ej. nuevos sistemas, nuevas recolecciones de información) deben 51 Actividad de Gestión de Información Dueño(s) Recursos para implementar/ Mantener ser efectivamente integradas en los procesos de negocio existentes. Llevar a cabo auditorías/análisis del programa de protección de datos fuera del Área de Protección de Datos (ej. auditorías internas) (PGD 12) Unidades operativas Implementar un flujo de trabajo de un PIA requiere un alto nivel de recursos del Área de Protección de Datos pues para motivar a las unidades operativas a hacerlos en los momentos correctos deben Mantener guías y formatos para las Evaluaciones de Impacto de Privacidad (PIA por sus siglas en inglés) (PGD 10) y entrenar a los usuarios sobre cómo hacerlos. Una vez el proceso se implementa, algunas PIA (si no todas) requerirán la revisión y la retroalimentación del Área de Protección de Datos (más al principio y después menos a medida que las unidades se vuelvan más sofisticadas en la evaluación de los riesgos de protección de datos). Altos para implementar / Altos para mantener Para las organizaciones que requieren demostrarle la responsabilidad a sus clientes (tales como los proveedores de servicios o las organizaciones cuyo negocio principal es el procesamiento de información por cuenta de otro) muchas veces es necesario obtener una confirmación de un tercero de que se están implementando buenas prácticas de protección de datos personales y seguridad de la información. Esto requiere llevar a cabo evaluaciones de riesgo, pruebas de control, y reportes de manera anual o semi-anual. Esto muchas veces resulta en un gasto alto para el Área de Protección de Datos (encontrar documentos, contestar preguntas, revisar los controles) así como la realización de auditorías externas que pueden ser costosas o demoradas en el tiempo. Apéndice I – Riesgos de Protección de Datos Los Programas de Protección de Datos reducen los siguientes riesgos: 1. Riesgo de no cumplimiento No cumplir con las leyes y regulaciones de protección de datos puede tener un impacto significativo para la organización. Esto puede darse en la forma de una acción investigativa (ej. una multa, una inspección o una orden impuesta por una Autoridad de Protección de Datos) contra la organización. En este caso, el impacto va más allá de las multas pecuniarias y las restricciones en las actividades del negocio. Las organizaciones pueden, incluso sin que exista un incidente de seguridad, una queja o una acción de la autoridad, descubrir internamente un no cumplimiento, posiblemente a través de una auditoría o una investigación. Esto implicará hacer cambios en las prácticas operativas o de negocio para prevenir futuras consecuencias de continuar operando sin cumplir con la ley. Un Programa de Protección de Datos diseñado e implementado para tomar en cuenta estas implicaciones de cumplimiento puede mitigar este riesgo de manera efectiva. 2. Riego de una investigación 52 En muchas jurisdicciones, las Autoridades de Protección de Datos tienen la autoridad para investigar a una organización con base en una serie de motivos incluyendo las quejas, reportes de prensa, tendencias de la industria u otros factores que no están específicamente relacionados con el cumplimiento legal. Las Autoridades de Protección de Datos deben interpretar y aplicar las leyes de protección de datos aun cuando no existan ítems específicos de cumplimiento legal, tal como sucede cuando la ley no tiene una provisión especial sobre desarrollos tecnológicos. Las acciones investigativas de las autoridades pueden llevar a una multa o sanción pecuniaria, pero también pueden incluir artículos de prensa negativos u órdenes de bloqueo de una base de datos. Aun cuando no haya un resultado medible de la investigación, la interacción con la autoridad requiere de recursos y preparación para poder atender debidamente los requerimientos que ésta haga. Finalmente, en algunas jurisdicciones, tener un programa efectivo de protección de datos puede implicar un tratamiento más benigno de la autoridad como consecuencia de una investigación, siempre y cuando pueda demostrarse que ésta tiene un Programa de Protección de Datos efectivo y que el caso particular en el que se detectó un incumplimiento no obedece a un problema sistémico dentro de la empresa. 3. Riesgo de Incidentes de seguridad El impacto de un incidente de seguridad puede moverse en un rango amplio de opciones como por ejemplo una investigación interna que implique disponer de mucho tiempo interno, a notificaciones individuales a los afectados o a daños reputacionales y la consecuente pérdida de negocios para la organización. Una serie de estudios hace referencia al costo de los incidentes de seguridad: entre ellos vale la pena mencionar algunos ejemplos como “2014 Cost of Data Breach Study” del Instituto Ponemon, “The True Cost of Data Breaches in the Payments Industry” del Smart Card Alliance y el "2014 Information Security Breaches Survey” del Departamento del Reino Unido para los Negocios, la Innovación y el Conocimiento. Muchos aspectos de un Programa de Protección de Datos están directamente relacionados con la protección de la información personal frente al uso, acceso o distribución no autorizados. Esto puede lograrse de manera directa mediante la encriptación de los datos o de manera indirecta entrenando a los empleados responsables del manejo de datos personales en la empresa. 4. Riesgo de daño al titular El mal uso de los datos personales puede conllevar daños a los titulares entre los que se incluyen la pérdida de ingresos, otros daños financieros, daño reputacional, discriminación entre otros. Un Programa de Protección de Datos tiene en cuenta el riesgo de daños a los titulares respecto de todos estos aspectos. Mantener una estructura de gobernanza es un componente clave para la gestión del riesgo en la medida que requiere responsabilidad demostrada y la autoridad para tomar decisiones basadas en el posible futuro impacto a los titulares. 5. Riesgo reputacional Para las organizaciones con negocios directos con los consumidores finales, las organizaciones del sector salud o inclusive algunas organizaciones B2B, el conocimiento por parte de la opinión pública de un incidente de seguridad, de una declaratoria de incumplimiento de la ley o una sanción o de la existencia de prácticas antiéticas de negocios puede implicar un daño reputacional aun cuando sea difícil de cuantificar. Algunas personas avocan porque las buenas 53 prácticas en protección de datos benefician a la marca; lo único que parece claro, sin embargo, es que una mala práctica sí tiene un impacto inmediato que afecta el buen nombre de la marca. 6. Riesgo de negocio Cuando una organización trata datos personales como parte de su negocio principal, muchas veces esta circunstancia implica un riesgo. Si la organización lleva a cabo ese tratamiento a nombre de sus clientes, existe una posibilidad alta de que la falta de un Programa de Protección de Datos genere un incumplimiento de las obligaciones contractuales con sus clientes. Las violaciones contractuales pueden llevar a la pérdida de un contrato o de negocios futuros. Durante el proceso de debida diligencia previo a una fusión o una adquisición, las organizaciones se preocupan mucho acerca de las prácticas de protección de datos personales de la compañía objetivo. Si la compañía adquirente tiene que invertir mucho en nivelar el Programa de Protección de Datos a sus propios estándares, esto impactará el ejercicio de valoración de la compañía. La incapacidad de entender las leyes y regulaciones de protección de datos puede impactar de manera directa los resultados operacionales. Por una parte, no abordar los asuntos complejos de protección de datos personales en coyunturas críticas (como durante un procesos de M&A o en el desarrollo de un producto) puede impactar las ventas y/o utilidades. Por otra parte, si la organización de manera equivocada interpreta los requisitos de protección de datos de manera excesivamente estricta, puede restringir innecesariamente las prácticas de negocio. Esto puede generar pérdidas de oportunidades de generación de ingresos y poner a la organización en una posición competitiva desventajosa. 7. Riesgo de litigios En Estados Unidos y Canadá, las cortes han admitido acciones colectivas y de grupo basadas en la violación de los derechos de protección de datos de los titulares o por la falla de una empresa en cumplir con lo anunciado en el aviso de privacidad. Un Programa de Protección de Datos efectivo puede mitigar el riesgo de litigios futuros si permite una comunicación articulada entre el Área de Protección de Datos y las áreas de negocio para asegurar que el tratamiento de la información recolectada es consistente con aquello que les fue informado a los titulares. 8. Riesgo ético En algunos casos, la organización puede estar cumpliendo técnicamente con relación al tratamiento de datos personales, aun sin ser ética. En muchas jurisdicciones con tradiciones y regulaciones de muchos años en protección de datos personales, las leyes no se redactaron abordando los cambios tecnológicos recientes y en esa medida no lograron anticiparse a esos cambios. Por eso, el riesgo ético es particularmente relevante en áreas nuevas tales como computación en la nube, big data y la internet de las cosas. La implementación de la responsabilidad demostrada en el Programa de Protección de Datos está basada en la responsabilidad de hacer las cosas bien, inclusive sin que exista una ley que permita o restrinja la actividad. 9. Riesgo personal Las carreras profesionales del CEO, la alta dirección e incluso del Oficial de Protección de Datos pueden verse impactadas por un no cumplimiento, un incidente de seguridad o la ausencia de un Programa de Protección de Datos. 54 La alta dirección de la compañía es responsable por la protección de sus activos (información) y sus clientes (titulares). Como consecuencia de algunos incidentes de seguridad muy publicitados, muchos Vicepresidentes de Tecnología o incluso presidentes de compañías han perdido su puesto. Muchas legislaciones, como sucede por ejemplo en Canadá o en Colombia, contemplan la posibilidad de imponer sanciones de carácter personal. Un Programa de Protección de Datos con una estructura adecuada de gobernanza, y un monitoreo efectivo, puede tener un gran impacto en la reducción del riesgo personal. 55