Estudio de Responsabilidad Demostrada

Anuncio
Estudio sobre Responsabilidad Demostrada (Accountability)
Maximice la efectividad de su programa de protección de datos con base en los recursos disponibles
La aproximación de Nymity para alcanzar estándares de Responsabilidad Demostrada
Maximice la efectividad de su programa de protección de datos con base en los recursos disponibles
Estado
Identificar el estado de
su programa de protección
de datos
Identificar los recursos
disponibles
Mantener actividades de protección de datos
¿No sabe dónde empezar?
Recursos Bajos
Política Primero
Recursos Altos
Recursos Medios
Gobernanza
Primero
Política
Primero
Inventario
Primero
Gobernanza
Primero
Política
Primero
Identificar a los dueños
Plan
Pla
Pl
Cumplimiento legal y regulatorio
Estrategia Gerenciada de
Protecció de Datos
Protección
Estrategia Avanzada de
Protecció de Datos
Protección
Sólo se implementan los
elementos fundamentales del programa
de protección de datos
Se incorpora más activamente la
protección de datos a otras unidades
operacionales (tales como Talento
Humano, Marketing, Unidades de Negocio)
Gestión de riesgos de protección
de datos
Alineación con objetivos
organizacionales
Perfil de recursos
Estrategia de Cumplimiento Legal y
Responsabilidad Dem
Demostrada (Accountability)
La organización se encuentra preparada para (i) probar que ha implementado un estándar de
responsabilidad demostrada (accountability), (ii) puede acreditar su cumplimiento legal y
regulatorio y (iii) está en capacidad de producir los soportes documentales
Una guía para el Oficial de Protección de Datos para alcanzar los más altos niveles de
responsabilidad demostrada posibles (accountability) con base en los recursos disponibles
VERSIÓN 1.0 - 18 DE SEPTIEMBRE DE 2015
© Nymity Inc. 2015. Este documento está basado en la investigación de Nymity. El contenido de este
documento se pone a disposición únicamente para propósitos educativos y no tiene la intención de ser ni
constituye consultoría legal. Adicionalmente, la aplicación de las aproximaciones a la gestión de datos
personales que se presentan en este documento no constituye garantía de cumplimiento.
Si usted requiere asesoría legal, debe consultar con un abogado. Nymity se reserva todos los derechos sobre
este documento, incluyendo el derecho de autor y cualquier otro derecho de propiedad intelectual. Usted
puede utilizar este documento para sus propios propósitos. Este documento puede ser libremente redistribuido
en su totalidad, siempre y cuando las marcas, logos y la indicación del derecho de autor de Nymity no sean
retirados. Este documento no puede ser vendido con fines de lucro ni usado en documentos comerciales sin la
autorización por escrito de Nymity.
Contenido
1.
Introducción .......................................................................................................................................................3
2.
Fundamentos de la Responsabilidad Demostrada (Accountability)...................................................................3
A.
Definiciones de Responsabilidad Demostrada (Accountability).....................................................................3
B. Expectativas de las Autoridades de Protección de Datos frente a la Responsabilidad Demostrada
(Accountability) ......................................................................................................................................................4
C.
La investigación de Nymity sobre Responsabilidad Demostrada (Accountability) ........................................7
1. Responsabilidad ..............................................................................................................................................7
2. Control ............................................................................................................................................................8
3. Evidencia .........................................................................................................................................................8
3.
La aproximación de Nymity para alcanzar estándares de Responsabilidad Demostrada ..................................9
A.
Estatus inicial de la gestión de información personal en la organización ................................................... 11
Identificación de recursos disponibles ............................................................................................................ 13
B.
Principios para seleccionar las Actividades de Gestión de Información ..................................................... 14
1.
Identifique su perfil de recursos.............................................................................................................. 15
2.
Tenga en cuenta los requisitos legales, regulatorios y de cumplimiento ............................................... 16
3.
Priorice con base en el nivel de riesgo .................................................................................................... 19
4.
Priorice basado en los objetivos de la organización................................................................................ 19
5.
Priorice basado en su nivel de recursos .................................................................................................. 19
C.
D.
Tres estrategias de Gestión de un Programa de Protección de Datos ........................................................ 20
1.
Estrategia Gerenciada de Protección de Datos Personales..................................................................... 21
2.
Estrategia Avanzada de Protección de Datos Personales ....................................................................... 33
3.
Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability).............................. 35
Tres formas de empezar .............................................................................................................................. 40
Política Primero– Recursos bajos .................................................................................................................... 43
Gobernanza Primero– Recursos medios ......................................................................................................... 47
Inventario primero – Recursos Altos ............................................................................................................... 49
Apéndice I – Riesgos de Protección de Datos ..................................................................................................... 52
1. Introducción
La discusión sobre Responsabilidad Demostrada (accountability) alrededor del mundo se ha vuelto prevalente
en los últimos años. Por una parte, las autoridades de protección de datos personales de muchos países están
publicando guías sobre qué significa demostrar la responsabilidad 1. Además, los requerimientos para
demostrar la responsabilidad están siendo incluidos por legisladores y reguladores en leyes y reglamentos 2.
Actualmente hay muchos tipos de guías (tal y como se discute más adelante) sobre qué significa demostrar la
responsabilidad, pero este documento está diseñado para ayudarle al Área de Protección de Datos 3 de la
empresa a llegar a ese punto: maximizar la efectividad del programa de protección de datos personales para
poder alcanzar el nivel más alto posible de responsabilidad demostrada.
Bien sea que el Área de Protección de Datos de la empresa haya implementado un programa maduro en su
organización o que esté empezando desde ceros, este estudio le ayudará a maximizar la efectividad del
programa de protección de datos basándose en los recursos disponibles en la organización y adicionalmente le
servirá para justificar las inversiones adicionales que sean necesarias para implementar el programa o para
mejorarlo.
2. Fundamentos de la Responsabilidad Demostrada (Accountability)
A. Definiciones de Responsabilidad Demostrada (Accountability)
En un contexto general, responsabilidad demostrada puede definirse como: “una obligación o disposición a
responder por las acciones propias 4” y “la obligación de un individuo o de una organización de rendir cuentas
sobre sus actividades, aceptar responsabilidad sobre ellas y divulgar los resultados de manera transparente” 5.
Aun cuando el término accountability no tiene una traducción sencilla al español, en la mayoría de los
1
Las autoridades de protección de datos de Canadá, Hong Kong, Australia, Colombia y Francia han publicado guías sobre
qué significa implementar estándares de responsabilidad demostrada. Estos documentos se discuten más adelante en esta
sección.
2
Algunos países entre los que se incluyen Australia, Colombia, Finlandia, Hong Kong, Islandia, el Reino Unido y la Unión
Europea ya requieren o promueven la demostración de la responsabilidad ante las Autoridades de Protección Datos bien
sea mediante legislación o a través de programas regulatorios. La propuesta de Reglamento de la UE incluye un
requerimiento para que las compañías se encuentren en capacidad de demostrar su responsabilidad y el cumplimiento de
las normas legales a las Autoridades de Protección de Datos a su solicitud; para las compañías que cuentan con Normas
Corporativas Vinculantes (NCV o BCR por sus siglas en inglés) esto ya es una obligación. En Canadá, la anterior
Comisionada Federal de Privacidad, solicitó una enmienda a la ley federal de protección de datos para que las compañías
tuvieran la obligación de demostrar su responsabilidad ante un requerimiento de la autoridad. En Estados Unidos, el Bill of
Rights de Protección de Datos propuesto por la administración del presidente Obama en febrero de 2012 contiene un
principio de Responsabilidad Demostrada y el requerimiento de que sea demostrable. Por su parte el marco de Puerto
Seguro (Safe Harbor) entre EE.UU y la UE requiere que las organizaciones implementen procedimientos para verificar los
compromisos asumidos por las organizaciones y proveer acceso a sus registros históricos cuando medie un requerimiento
de las autoridades respectivas.
3
Para efectos de este estudio se asume que la organización ha asignado responsabilidad para temas de protección de
datos a una o más personas. Si se trata de una sola persona, se hará referencia al Oficial de Protección de Datos; si se trata
de un grupo de personas, serán referidos como el Área de Protección de Datos.
4
Tomado de la definición de accountability en http://www.merriam-webster.com/dictionary/accountability
5
Tomado de la definición de accountability en http://www.businessdictionary.com/definition/accountability.html
3
contextos se entiende que incluye la asignación de responsabilidad y la capacidad de reportar sobre las
actividades propias.
Históricamente, en el contexto de la protección de datos, la responsabilidad demostrada hacía referencia a la
transferencia de información (las organizaciones que recolectan información personal de los titulares
mantienen una responsabilidad cuando los datos se transfieren a terceros). Apareció como un derecho
fundamental en materia de protección de datos desde 1980 en las Guías para la Protección de la Privacidad y
los Flujos Transfronterizos de Información de la Organización para la Cooperación y el Desarrollo Económico
(OCDE) y esencialmente hacía referencia a que la organización mantenía la responsabilidad por la protección de
la información personal independientemente del lugar de almacenamiento de los datos y de a quién se
hubieran transferido o entregado.
En 2009, el Center for Information Policy Leadership, un think-tank global sobre protección de datos personales
y seguridad de la información, lanzó un Proyecto de Accountability 6 con el propósito de definir los elementos
esenciales de la Responsabilidad Demostrada y considerar cómo podría funcionar en la práctica una
aproximación en este sentido a la protección de la información personal. Esta iniciativa se encuentra ahora en
su quinta fase y se enfoca en el elemento de riesgo.
En 2010, el Grupo de Trabajo del Artículo 29 en la Unión Europea emitió una opinión sobre el principio de
Responsabilidad Demostrada. En ella, hizo una propuesta concreta para que se añadiera este principio al marco
legal existente para que los responsables del tratamiento “implementaran medidas apropiadas y efectivas para
asegurar que los principios y las obligaciones establecidas en la Directiva fueran cumplidas y que eso se
demostrara a las Autoridades a solicitud de estas”. Adicionalmente, describe la responsabilidad demostrada
como “mostrar cómo se ejerce la responsabilidad y hacer esto verificable” 7.
Si nos adelantamos al año 2015, el concepto ahora incluye también todo aquello que las autoridades de
protección de datos esperan de las organizaciones responsables y, cada vez más, las leyes de protección de
datos 8 están incluyendo el término como un elemento de cumplimiento normativo.
B. Expectativas de las Autoridades de Protección de Datos frente a la
Responsabilidad Demostrada (Accountability)
Muchas Autoridades de Protección de Datos (en adelante también “APD”) han publicado guías sobre sus
expectativas con relación al manejo responsable de los programas de protección de datos personales. Está
claro que el concepto de responsabilidad demostrada ha evolucionado más allá del simple cumplimiento
6
7
8
www.informationpolicycentre.com/accountability-based_privacy_governance
Grupo de Trabajo del Artículo 29 (2010). Opinión 3/2010 sobre el Principio de Responsabilidad. Bélgica.
Por ejemplo, en la versión actual de la propuesta de Reglamento de la UE, artículo 22.1, (relacionado con las obligaciones
del Responsable), se prevé lo siguiente: “teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del
tratamiento, así como la probabilidad y gravedad del riesgo para los derechos y las garantías de los individuos, el
responsable deberá adoptar las medidas apropiadas y estar en capacidad de demostrar que el tratamiento de los datos
personales se está llevando a cabo de conformidad con este reglamento”.
4
normativo y ahora incluye la implementación de un programa efectivo de protección de datos personales para
asegurar la posibilidad de que se demuestre, a petición de la APD, que existe un cumplimiento demostrable y
permanente. En la tabla siguiente se incluye un resumen de esas guías regulatorias.
Autoridad
Australia
Documento Guía
Marco de Gestión de
Privacidad: Facilitando el
Cumplimiento y
Asegurando las Buenas
Prácticas 9
2015
Canadá
Colombia
Entendiendo la
Responsabilidad
Demostrada con un
Programa de Protección
de Datos 10
2012
Guía para la
Implementación del
Principio de
Responsabilidad
Demostrada 11
2015
Descripción
La Oficina del Comisionado Australiano de Información (OAIC)
lanzó un marco de gestión de privacidad y protección de datos
para ayudarle a las organizaciones del sector público y del
sector privado a alcanzar sus obligaciones de cumplimiento
normativo e instaurar una cultura de respeto de la información
personal. El Marco de Gestión es una guía práctica sobre cómo
establecer y mantener un programa de protección de datos,
incluyendo una aproximación de cuatro pasos que le ayuda a
las organizaciones a proteger la información personal y
mejorar sus procesos.
La Oficina del Comisionado de Privacidad de Canadá (OPC), y
las Oficinas de Información y Privacidad de Alberta y Columbia
Británica trabajaron de manera conjunta para desarrollar este
documento con el ánimo de proveer una guía consistente
sobre qué significa ser una organización responsable.
La Superintendencia de Industria y Comercio en Colombia
lanzó la Guía para la Implementación del Principio de
Responsabilidad Demostrada que le permitirá a los individuos
y a las compañías crear un programa integral de protección de
datos personales. La Guía hace un llamado a las organizaciones
para que produzcan documentación que evidencie la
implementación de estándares de responsabilidad demostrada
en caso de que sea requerida por las autoridades. El
documento tiene definiciones claras, beneficios concretos para
las organizaciones responsables y una relación de mejores
prácticas para implementar de manera efectiva un programa
integral de protección de datos personales. Entre estas
mejores prácticas se incluyen: (i) la necesidad de contar con
apoyo de las altas directivas, (ii) las actividades detalladas que
adelanta el Área de Protección de Datos, (iii) controles al
programa, (iv) sistemas de gestión de riesgo, (v) capacitación y
entrenamiento, (vi) manejo de incidentes, (vii) comunicaciones
externas y (viii) evaluaciones y revisión continua.
9
http://www.oaic.gov.au/privacy/privacy-resources/privacy-guides/privacy-management-framework
https://www.priv.gc.ca/information/guide/2012/gl_acc_201204_e.pdf
11
http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf
10
5
Autoridad
Supervisor
Europeo de
Protección de
Datos (EDPS)
Documento Guía
Estrategia del EDPS:
Liderando mediante
Ejemplo 12
2015
Francia
Procedimiento de
Gobernanza para
solicitud de formato de
Sello 13
2015
Hong Kong
Programa de Gestión de
Privacidad, Una guía de
mejores prácticas 14
2014
Descripción
El Supervisor, Giovanni Buttarelli, y el Supervisor Asistente,
Wojciech Wiewiórowski, fueron nombrados en diciembre de
2014 y en 2015 lanzaron el documento de estrategia
“Liderando mediante Ejemplo”. La estrategia plantea la
expectativa de que “las entidades de la UE, incluyendo al
EDPS, deben ser plenamente responsables por la forma como
procesan información personal, porque para demostrar un
liderazgo ejemplar, debemos estar más allá de cualquier
reproche posible”.
El 13 de enero de 2015, la APD de Francia (CNIL) publicó un
estándar de responsabilidad demostrada. Está dividido en 25
requerimientos relacionados con la existencia tanto de una
política interna de protección de datos como de un aviso de
privacidad dirigido al público así como con el nombramiento
de un Oficial de Protección de Datos. Las compañías que
demuestren que cumplen con el nuevo estándar podrán optar
por un “sello de accountability” de la CNIL.
La Oficina del Comisionado de Privacidad de Hong Kong (PCPD)
emitió una Guía de Mejores Prácticas para Implementar un
Programa de Protección de Datos (PPD). Además de asegurar
el cumplimiento normativo, un PPD demuestra que la
organización se encuentra comprometida con el buen
gobierno corporativo y lleva a crear relaciones con los clientes,
los empleados, los accionistas y las autoridades basadas en la
confianza.
Tabla 1: Lista parcial de expectativas de las Autoridades de Protección de Datos en sus respectivas guías sobre responsabilidad
demostrada
Las Autoridades de Protección de Datos generalmente reconocen que la gestión de datos personales no se
puede estandarizar y que cada organización debe “confeccionar el traje a su medida” 15 teniendo en cuenta su
tamaño, la naturaleza de su negocio, y el tipo de información que está siendo tratada 16. Los documentos guías
12
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Strategy/15-0226_Strategy_2015_2019_EN.pdf
13
http://www.cnil.fr/fileadmin/documents/Label/LabelsCNIL-gouvernance-Demande.rtf
14
https://www.pcpd.org.hk/pmp/files/PMP_guide_e.pdf
15
Ibídem 8, página 2: “Esta guía de mejores prácticas (la Guía) esboza lo que el Comisionado ha determinado son buenas
aproximaciones para desarrollar un programa de protección de datos robusto, pero no es una aproximación que le sirva
de manera directa a todas las organizaciones. Cada organización debe determinar, tomando en cuenta su tamaño y la
naturaleza de su negocio, cuál es la mejor manera de aplicar esta Guía para desarrollar su propio programa de protección
de datos personales”. (Traducción libre).
16
https://privacyassociation.org/news/a/colombia-issues-accountability-guidelines-hopes-for-a-trend/ El ex
Superintendente Delegado para la Protección de Datos Personales de la Superintendencia de Industria y Comercio (SIC) en
Colombia, José Alejandro Bermúdez, indicó que: “Las acciones deben ser ‘proporcionales’ a la naturaleza del responsable’.
Así, cuando se diseña un programa de protección de datos personales, se debe tener en cuenta el tamaño de la
organización, así como la naturaleza del información que está siendo tratada por el responsable; por ejemplo si [la
información] es sensible, si hace referencia a datos de salud, si se transfiere internacionalmente y si está siendo tratada
por un encargado en un proceso de tercerización”.
6
publicados por las diferentes APD que se relacionaron anteriormente describen qué elementos de un programa
de protección de datos personales se deben implementar, pero generalmente no indican cuándo o dónde se
debe empezar dadas las circunstancias particulares de presupuesto disponible de cada organización. La
aproximación pragmática descrita en este estudio está pensada para guiar a las organizaciones de todos los
tamaños para que maximicen su programa de protección de datos personales basándose en los recursos
disponibles.
C. La investigación de Nymity sobre Responsabilidad Demostrada (Accountability)
En el año 2002 Nymity empezó su investigación sobre responsabilidad demostrada y desarrollo de soluciones
para el Área de Protección de Datos. En 2009, empezamos a completar esta investigación con series de talleres
prácticos alrededor del mundo, incluyendo a Autoridades de Protección de Datos, examinando qué se requiere
para que una organización esté en capacidad de “demostrar” su responsabilidad (p. ej. internamente a sus
directivos, a la junta directiva o externamente a una autoridad). Esta investigación dio lugar a una publicación
denominada: A Privacy Officer’s Guide to Demonstrating Accountability.
No proponemos una definición alternativa de responsabilidad demostrada. Por el contrario, Nymity se
apalancó en las definiciones existentes y en las expectativas de las Autoridades de Protección de Datos para
subdividir la responsabilidad demostrada en tres elementos: 1. Responsabilidad, 2. Control y 3. Evidencia. Cada
uno de estos elementos es necesario para poder alcanzar un estándar de responsabilidad demostrada y en
consecuencia eliminar o menoscabar uno de ellos resultaría en la imposibilidad de que la organización pueda
alcanzar dicho estándar y demostrarlo.
1. Responsabilidad
La organización mantiene un programa efectivo de protección de datos personales que se compone de
actividades de gestión de información
La responsabilidad demostrada se alcanza mediante la implementación de un programa efectivo de protección
de datos personales, pero ¿de qué se compone un programa efectivo de protección de datos personales? En
2012 Nymity amplió su programa de investigación en responsabilidad demostrada para identificar todas las
actividades de gestión de información que se implementan en las organizaciones alrededor de varias industrias
y jurisdicciones. Las actividades de gestión de información son procedimientos, políticas, mecanismos y otras
iniciativas ejecutadas de manera permanente en la organización que impactan el tratamiento de datos
personales o que se relacionan con el cumplimiento de las normas
sobre protección de datos personales.
Las actividades de gestión en protección de datos pueden variar entre
las distintas organizaciones de la misma manera que varía el tipo de
información personal que se está tratando y las finalidades con que
se tratan en los distintos casos.
El resultado de esta investigación fue el Marco Nymity de
Gobernanza en Privacidad y Protección de Datos (“El Marco”). El Marco es un listado completo, neutral en
material de jurisdicciones y de categorías de industrias, que contiene más de 150 actividades de gestión de
7
información contenidas en 13 Procesos de Gestión de Datos. El Marco puede ser consultado de manera
gratuita y se mantiene actualizado con base en nuevos resultados por parte del equipo de investigación de
Nymity.
El Marco no es una lista de chequeo de actividades que deben ser completadas; más bien, es una estructura
para (i) reportarle a la Alta Dirección, (ii) definir el estado del programa de protección de datos, (iii) crear casos
de negocio que justifiquen las inversiones futuras y (iv) ayudarle a las organizaciones a maximizar la efectividad
de su programa de protección de datos personales. El Marco no se basa en principios ni en controles, sino en
actividades de gestión de información que pueden ser planificadas y monitoreadas.
2. Control
El individuo asume el control y es responsable por la gestión y el monitoreo de las actividades de gestión de
información
El control efectivo es el segundo elemento de la responsabilidad demostrada y es un derivado del elemento de
la responsabilidad. Aun cuando el Área de Protección de Datos responde por la gestión de la información
personal y el cumplimiento normativo, el Área de Protección de Datos en sí misma usualmente trata muy pocos
datos personales. Como tal, la efectividad del programa de protección de datos personales recae en la gestión
efectiva de las actividades de gestión de información que se hacen a lo largo de todo el ciclo de gestión de los
datos personales que recoge la organización, desde el punto de recolección hasta el punto de destrucción.
El control de algunas actividades de gestión de información estará asignada a las unidades operativas de la
organización, como por ejemplo el área de recursos humanos, marketing, desarrollo de producto, TI, servicio al
cliente, etc., por cuanto es allí donde se recolecta y trata la información.
Las actividades de gestión de información pueden ser:
•
•
Implementadas por el Área de Protección de Datos , por ejemplo:
o Mantener una política de protección de datos personales (PGD 3)
o Mantener un programa de capacitación básico para todos los empleados (PGD 5)
o Mantener un aviso de privacidad que detalle las políticas de la organización en el manejo de los
datos personales (PGD8)
o Llevar a cabo investigaciones continuas sobre cambios regulatorios (PGD 13)
Influenciadas u observadas por el Área de Protección de Datos, por ejemplo:
o Integrar la protección de datos en las prácticas de marketing directo (PGD 4)
o Mantener una política de seguridad de la información (PGD 6)
o Llevar a cabo el análisis de debida diligencia (due diligence) de las prácticas sobre protección de
datos y seguridad de la información de los potenciales proveedores/encargados (PGD 7)
3. Evidencia
Hay documentos que soportan la ejecución de las Actividades de Gestión de Información
El tercer elemento de la responsabilidad demostrada es la evidencia. En las organizaciones responsables, quien
asume el control de una Actividad de Gestión de Información, provee la evidencia de que esa actividad
efectivamente se está implementando.
8
Cuando las Actividades de Gestión de Información se están llevando a cabo de manera constante, la evidencia
se genera como un sub-producto de la actividad. La evidencia es documentación que puede ser formal (p. ej.
políticas, procedimientos o reportes) o información (comunicaciones internas o externas, agendas o registros
de los sistemas de información) y pueden ser utilizados para demostrar que una Actividad de Gestión de
Información efectivamente se está llevando a cabo. Por ejemplo, la Actividad de Gestión de Información Llevar
a cabo PIA para nuevos programas, sistemas y procesos (PGD 10) produce como resultado varios tipos de
evidencia, incluyendo: (i) políticas que requieren Evaluaciones de Impacto de Privacidad (PIA), (ii)
procedimientos y flujos de trabajo que documentan los procesos de aprobación, (iii) guías y minutas para llevar
a cabo una PIA, (iv) documentos de entrenamiento sobre cómo hacer una PIA, (v) registros de las PIA, etc. Esta
documentación sirve como evidencia de la responsabilidad demostrada.
3. La aproximación de Nymity para alcanzar un estándar de Responsabilidad
Demostrada
Este estudio desarrolla una aproximación práctica a la gestión de un programa de protección de datos
personales, cumplimiento normativo y responsabilidad demostrada (accountability).
9
La aproximación de Nymity es pragmática y funciona para cualquier organización independientemente de su
tamaño, recursos, jurisdicción y sector/industria.
Entre los aspectos únicos de la aproximación de Nymity se destacan los siguientes:
•
•
•
•
•
•
Está estructurado con base en la realidad de que un Área de Protección de Datos sólo puede
implementar y mantener un programa de protección de datos según los recursos que le hayan sido
asignados al Oficial de Protección de Datos.
Muestra que el alcance del programa de protección de datos no solo incluye las Actividades de Gestión
de Información implementadas por el Área de Protección de Datos sino también las Actividades de
Gestión de Información implementadas por las unidades operativas que controlan o influencian el
tratamiento de información personal.
Permite la demostración de la responsabilidad y el cumplimiento legal con los documentos que ya
existen en la organización y que se generan como un sub-producto de las Actividades de Gestión de
Información.
Se basa en un marco que identifica Actividades de Gestión de Información específicas, denominado el
Marco NYMITY de Gobernanza en Privacidad y Protección de Datos.
Está soportado por herramientas gratuitas de gestión de protección de datos que se actualizan
permanentemente por parte del equipo de investigación.
Funciona para cualquier organización, independientemente de su tamaño, sector/industria o
jurisdicción.
Básicamente, la ventaja más significativa de la aproximación de Nymity es el foco en cómo un programa de
protección de datos efectivo tiene las mejores probabilidades de alcanzar estándares continuos de
responsabilidad demostrada y cumplimiento normativo frente a la regulación existente.
La aproximación de Nymity se describe a continuación:
A. Estado inicial de la gestión de información personal en la Organización
El punto inicial para cualquier organización es determinar el estado de la gestión de la información
personal recolectada por la organización a través de sus diferentes áreas.
B. Principios guías para seleccionar las Actividades de Gestión de Información aplicables
Bien sea por que se está empezando o que ya se encuentra implementando alguna estrategia para
mejorar su programa de protección de datos, existen algunos factores esenciales y consideraciones
prácticas para maximizar los recursos existentes para mantener un programa de protección de datos
efectivo.
C. Tres estrategias para implementar un Programa
Esta sección es para todas las organizaciones que se están enfocando sus esfuerzos para consolidar un
programa de protección de datos efectivo.
D. Tres maneras de empezar
Esta sección le ayuda a las organizaciones a determinar cuáles actividades desarrollar primero para
implantar una estrategia de creación de un programa de protección de datos.
10
A. Estatus inicial de la gestión de información personal en la organización
El primer paso en la aproximación de Nymity para alcanzar estándares de responsabilidad demostrada es
entender el estatus actual de la gestión de información personal dentro de la organización. Esto se logra
referenciando la gestión existente en la organización (el estado inicial de la Actividad de Gestión de
Información Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos (PGD 12)). Esto es cierto
para cualquier organización, sea que tenga un proceso maduro ya implementado o que esté apenas
empezando. Esta Actividad de Gestión de Información define el estado de la gestión de información personal
dentro de la organización, al mismo tiempo que le ayuda al Área de Protección de Datos a identificar recursos
que puedan ser aplicados a maximizar dicha gestión.
El Área de Protección de Datos usa el Marco Nymity de Gobernanza en Privacidad y Protección de Datos para
identificar cuáles actividades han sido puestas en práctica, no solo a nivel del Área de Protección de Datos sino
dentro de las unidades operativas de la compañía. En la medida en que el programa se va mejorando, el estado
se actualizará de manera continua. Los Programas de Protección de Datos no se miden por el número de
Actividades de Gestión de Información implementadas (“más” no necesariamente significa “mejor”). Para
algunas organizaciones, seleccionar solo unas pocas actividades es efectivo – para otras, puede ser apropiado
tener hasta ochenta 17.
Usando este método, el Área de Protección de Datos puede determinar su estado actual 18 (p. ej. desde qué
punto está empezando) y también identificar los recursos disponibles para la implementación del programa.
El primer paso es determinar el estado actual de las Actividades de Gestión de Información:
•
•
17
No aplicable (N/A): Las Actividades de Gestión de Información que no son aplicables a la organización
(o a la parte de la organización que está siendo evaluada) se catalogan como N/A. Como el Marco es
aplicable a toda América Latina (así como la versión global es aplicable a cualquier organización a nivel
mundial) habrá actividades que no son relevantes en una determinada jurisdicción o industria. Un
ejemplo de actividades que se catalogan como No Aplicables son aquellas relacionadas con marketing
en organizaciones que no adelantan ninguna gestión de mercadeo.
Deseada: Las Actividades de Gestión de Información que se ha determinado que sí son aplicables a la
organización o relevantes para el programa de protección de datos pero que no se han implementado
Nymity trabaja con organizaciones de varios tamaños y en diferentes industrias y jurisdicciones en todo el proceso de
implementación de un estándar de responsabilidad demostrada. A través de esta relación y del conocimiento
especializado de nuestro equipo de profesionales en protección de datos, hemos observado que el número de Actividades
de Gestión de Información no necesariamente es un indicador de la efectividad de un programa de protección de datos.
Más bien, implementar las actividades apropiadas basándose en los riesgos y en la forma de tratamiento de la información
que son únicos para cada empresa, es la aproximación correcta. La mayor parte de las organizaciones se dan cuenta que
entre 50 y 70 actividades es un número apropiado para implementar en el Área de Protección de Datos y en las unidades
operativas. Nymity publica un benchmark anual sobre las actividades más comúnmente implementadas. El reporte está
disponible en https://www.nymity.com/data-privacy-resources/data-privacy-research/privacy-managementbenchmarking-report.aspx. En 2015, Nymity publicó el Hong Kong Accountability Benchmarking Micro-Study, un reporte
agregado sobre las Actividades de Gestión de Información implementadas en organizaciones públicas y privadas en esa
jurisdicción.
18
En este punto, la autoevaluación está diseñada para identificar las actividades que ya se han implementado o que están
en marcha y se enfoque en el estado de la implementación. No es una evaluación del estado actual en el sentido
tradicional, toda vez que no busca evaluar la efectividad de las actividades ni encontrar posibles huecos.
11
•
•
o no han sido incluidas en el presupuesto se catalogan como Deseadas. El Área de Protección de Datos
puede determinar que estas actividades deben ser priorizadas (por ejemplo cuando responden a un
requerimiento legal).
Planeada: Si la actividad ya se encuentra presupuestada y su ejecución está avanzando, o si se
encuentra dentro de la planeación para ser implementada, se cataloga como Planeada. La decisión ya
se ha tomado y hay acciones concretas avanzando en el sentido de implementar la actividad.
Implementada: La Actividades de Gestión de Información que ya se encuentran implementadas y que
cuentan con suficientes recursos para ser mantenidas se catalogan como Implementadas.
Para determinar el estatus de las Actividades de Gestión de Información, el Oficial de Protección de Datos
puede necesitar coordinarse con representantes de otras áreas operacionales tales como recursos humanos,
marketing y seguridad de la información. Como se describió anteriormente, una característica definitiva de la
aproximación de Nymity es que un programa de protección de datos basado en estándares de responsabilidad
demostrada no solo está integrado por las actividades implementadas por el Área de Protección de Datos, sino
también por aquellas que el Área de Protección de Datos influencia y observa y en donde el control reside
directamente en el área de negocio. Cada Actividad de Gestión de Información tiene entonces un dueño que
ejerce el control y debe responsabilizarse por su implementación efectiva. Nótese que algunas actividades
pueden tener más de un dueño.
La mayoría de los Oficiales de Protección de Datos encontrarán que ya existe en la organización un programa
de seguridad de la información que puede ser aprovechado para alcanzar los objetivos que se ha trazado con
relación a gestión segura de datos y manejo del riesgo en seguridad de la información. El Área de Protección de
Datos, hasta donde sea posible, debe brindar apoyo y ejercer influencia sobre el equipo de seguridad de la
información con relación a la implementación de estas actividades. Las estrategias que se discuten más abajo
parten de esa base y en esa medida no se refieren a las Actividades de Gestión de Información desde la
perspectiva del proceso de gestión de información No. 6. Manejo de riesgos de seguridad de la información.
Cuaderno de Trabajo para identificar el estado del Programa de Protección de Datos
El Cuaderno de Trabajo para identificar el estado del programa de protección de datos de Nymity 19 (en
adelante “el cuaderno de trabajo”) está disponible para facilitar un ejercicio de autoevaluación. Está
estructurado como una hoja de cálculo que puede ser ajustada y modificada por el Área de Protección de
Datos, pero que empieza con los elementos básicos que deben ser registrados como parte de la aproximación
de Nymity: Estado, Dueño y recursos para implementar/mantener.
19
El Cuaderno de Trabajo Nymity está disponible en www.nymity.com/getting-to-accountability
12
Cuaderno de trabajo (ejemplo ilustrativo)
Actividad de
Gestión de
Información
Estado
Dueño(s)
Asignar
responsabilidad
es por la
adecuada
gestión de datos
personales en la
alta dirección y
en la gerencia
(PGD 1)
Implementada
Área de
Protección
de Datos
Recursos
para
implementar
Recursos
para
mantener
Caso de
negocio
Funda
mental
?
Descripción /
Comentario
Evidencia
Identificación de recursos disponibles
Como parte de la Actividad de Gestión de Información Llevar a cabo autoevaluaciones aplicadas por el Área de
Protección de Datos (PGD 12), el Área de Protección de Datos determinará no solo el estado de las Actividades
de Gestión de Información sino que también tendrá un sentido de los recursos disponibles para enriquecer el
programa y maximizar su efectividad. Algunos recursos son tangibles o fácilmente medibles como el
presupuesto o el personal. Otros recursos igualmente importantes incluyen a los dueños y partes interesadas
en toda la organización que están dispuestos a ayudar al Área de Protección de Datos; la documentación tal
como políticas, procedimientos y otra evidencias que puedan ser usadas más adelante para demostrar la
responsabilidad; y los recursos intangibles tales como el respaldo de la gerencia o las aprobaciones de los
directivos.
Los recursos también pueden incluir:
•
•
•
•
20
Personal
Empleados– a tiempo
completo o parcial
Aprobación o soporte
de la
Gerencia/Directivos
Otros departamentos
o grupos tales como
control interno,
cumplimiento, etc.
Servicios compartidos
•
•
•
•
Procesos
Flujos de trabajo para •
aprobaciones
Mecanismos de
•
monitoreo y/o
control
•
Comunicación/
Reuniones
Entrenamiento/educa
ción
•
Tecnología
Plataformas para
compartir archivos
/documentos
Herramientas
colaborativas
Seguridad de la
información /
Controles de
protección de datos
Sistemas de
•
•
•
•
Herramientas 20
Suscripciones a
servicios de reporte
sobre cumplimiento
Suscripción a
boletines
informativos
Minutas y modelos
Sistemas de gestión
de protección de
datos
Nymity ofrece una gran cantidad de herramientas y recursos gratuitos incluyendo el Marco Nymity de Gobernanza en
Privacidad y Protección de Datos ™, el Scorecard Nymity de Protección de Datos ™ y una serie de informes, estudios, guías
y materiales de soporte para ayudar en la implementación del estándar de responsabilidad demostrada. Adicionalmente a
estos recursos gratuitos, Nymity ofrece soluciones de software por suscripción. En diciembre de 2015, Nymity estará
lanzando Nymity LatAm™ un producto 100% en español diseñado para las empresas que operan en América Latina, y que
combina tres de las herramientas más avanzadas para el oficial de protección de datos: Nymity Research™, Nymity
Templates ™ y Nymity Benchmarks ™. En una sola solución, los responsables de gestionar los programas de protección de
datos personales podrán acceder a la investigación latinoamericana del equipo de Nymity, consultar y descargar guías para
implementar un programa integral de protección de datos personales y comparar sus programas. Más información sobre
estas soluciones en www.nymity.com/products.
13
Personal
(Seguridad de
Información, TI,
Jurídica, Contratos)
Consultores externos
/ Asesores /
Auditores/ Servicios
Proveedores
•
•
Procesos
Escalamiento
•
•
Tecnología
planeación de
recursos
Sistemas de emisión
de tiquetes
Plataformas de
educación en línea
•
•
•
•
Herramientas 20
Software de reporte
de cumplimiento en
protección de
datos/riesgos/cumpli
miento legal
Soluciones para PIA
Tablas racionalizadas
de generación de
reglas
Soluciones de
benchmarking
Tabla 2: Recursos del PPD (lista parcial)
Después de este proceso, el Cuaderno de Trabajo 21 se actualiza para reflejar los recursos requeridos para
implementar y mantener la Actividad de Gestión de Información:
Cuaderno de Trabajo (ejemplo ilustrativo)
Actividad de
Gestión de
Información
Estado
Dueño(s)
Recursos para
implementar
Recursos para
mantener
Asignar
responsabilidade
s por la adecuada
gestión de datos
personales en la
alta dirección y
en la gerencia
(PGD 1)
Implementada
Área de
Protección
de Datos
Soporte de la
Gerencia al
Oficial de
Protección de
Datos
% FTE para el
rol de Oficial
de Protección
de Datos
Caso de
negocio
Fundam
ental?
Descripción /
Comentario
Evidencia
B. Principios para seleccionar las Actividades de Gestión de Información
Bien sea porque está empezando o porque está desarrollando mejor su estrategia para mejorar un programa
de protección de datos más maduro, la aproximación de Nymity provee algunas consideraciones
fundamentales para seleccionar las Actividades de Gestión de Información que maximizarán los recursos que
tiene disponibles y que se convertirán en una verdadera estrategia de gestión de protección de datos. Ignorar
cualquiera de estos factores puede resultar en un programa de protección de datos que no alcance los
objetivos trazados inicialmente. También es importante que estos factores sean tenidos en cuenta de manera
periódica y no solo en el momento de gestación del programa. Como parte del mantenimiento del programa,
las actividades deben ser revisitadas de manera periódica y el programa de protección de datos debe ser
ajustado, si es necesario.
Los cinco principios para seleccionar las Actividades de Gestión de Información son los siguientes:
21
El Cuaderno de Trabajo Nymity está disponible en www.nymity.com/getting-to-accountability
14
1. Identifique su perfil de recursos
Resulta crítico tener un entendimiento realista de los recursos que se encuentran disponibles para su programa
y ser capaz de comunicar efectivamente el hecho de que se necesitan más recursos. Los perfiles elaborados
según el nivel de recursos que se describen abajo pueden ser útiles para entender su propia situación. La
mayoría de las organizaciones no encajarán exactamente dentro de uno de los perfiles que se describen abajo,
sino que tendrán muy probablemente características de uno y de otro. No resulta indispensable ser
absolutamente preciso en este punto pues la idea es tener una guía que ayude a escoger una estrategia. Los
perfiles según el nivel de recursos son los siguientes:
i.
Bajos recursos: “Oficial de Protección de Datos de tiempo parcial”
Muchas veces las organizaciones cuentan con una persona para quien el rol de Oficial de Protección de
Datos es un rol secundario. Esto sucede por ejemplo cuando esa persona también actúa como
vicepresidente jurídico, gerente de recursos humanos o profesional en el área de marketing. La
organización solo puede darle recursos limitados a ese Oficial de Protección de Datos posiblemente
porque:
•
•
•
•
•
•
es una organización pequeña o es una organización que no trata grandes volúmenes de
información personal;
el rol de Oficial de Protección de Datos es un rol de tiempo parcial y por tanto el Área de
Protección de Datos tiene poco tiempo disponible;
es una organización del sector público o del sector privado con limitaciones presupuestales;
no se ha logrado el compromiso y la aprobación de la alta dirección;
no ha logrado obtener recursos de la mayoría de las áreas operativas tales como RRHH, TI y
marketing, o
el riesgo de protección de datos se percibe como bajo comparativamente con otros retos u
oportunidades.
ii.
Recursos medios: “Apoyo de la organización”
Las Áreas de Protección de Datos con recursos medios tienen aprobación y apoyo de las unidades
operacionales. La Organización también puede tener:
•
•
•
•
•
un Oficial de Protección de Datos de tiempo completo que ha sido entusiasta y se ha dedicado
a la promoción de la protección de datos y del Programa de Protección de Datos en toda la
organización;
una cultura de cumplimiento legal (compliance), tal y como sucede en las industrias altamente
reguladas (ej. servicios financieros, telecomunicaciones, farmacéuticas);
el tratamiento de datos hace parte del negocio principal (core business) de la organización, sea
directamente o como proveedor de servicios tercerizados;
ha sufrido incidentes de seguridad y la alta dirección está preocupada sobre incidentes futuros,
el daño reputacional y las consecuencias regulatorias;
obligaciones contractuales para incluir buenas prácticas de protección de datos;
15
•
•
un gran Proyecto o reestructuración de la organización que represente una oportunidad para
crear un Programa de Protección de Datos desde ceros; por ejemplo con la implementación de
un nuevo sistema de gestión de recursos humanos, y
un proceso adelantado con miras a implementar un mecanismo para llevar a cabo flujos
transfronterizos de información como podrían ser las BCR’s en la UE, el arreglo de Puerto
Seguro entre EE.UU y la UE, las Reglas APEC de Flujos Transfronterizos de Datos u otros.
iii.
Recursos Altos: “Apoyo de la Alta Dirección y un Área de Protección de Datos con recursos
abundantes”
Un Área de Protección de Datos con recursos abundantes es un Área de Protección de Datos que
tendrá suficiente personal a disposición y también recurre a firmas de abogados o de consultoría
externas. Hay un apoyo real de la alta dirección y pleno compromiso de las unidades operativas y de
negocio. Esto generalmente ocurre en organizaciones:
•
•
•
•
•
con alta aversión al riesgo y una cultura de cumplimiento legal y normativo;
donde la protección de datos ha llegado hasta el nivel de la junta directiva y se han asignado
recursos y responsabilidades desde dicho órgano;
donde ha ocurrido un incidente de seguridad de grandes magnitudes dentro de la organización
o esto le ha ocurrido a un competidor, y donde en consecuencia se ha atraído la atención de los
directivos;
que han sido objeto de investigación por parte de una autoridad de protección de datos
personales, y/o
que sigue de cerca las recomendaciones de sus asesores externos, firmas de abogados o
empresas de consultoría.
Tener un entendimiento profundo de su perfil de recursos le ayudará a priorizar los requerimientos
para su programa y adicionalmente le ayudará a solicitar recursos adicionales en caso de que los
necesite.
2. Tenga en cuenta los requisitos legales, regulatorios y de cumplimiento
En la mayoría de las jurisdicciones, existe una serie de leyes de protección de datos y de privacidad que
gobiernan el uso de la información personal. Adicionalmente, las Autoridades de Protección de Datos de
manera creciente han venido mostrando cuáles son sus expectativas frente a la forma como las organizaciones
manejan la información personal. Hay muchas maneras para incluir elementos de cumplimiento legal en la
organización, dependiendo de los recursos que le hayan sido asignados al Área de Protección de Datos y a la
complejidad del ambiente legislativo. No obstante, se requiere de mucha investigación para entender las
obligaciones regulatorias y de cumplimiento. En Nymity estamos convencidos que si la organización está
tratando los datos personales de manera responsable por medio del establecimiento de un Programa de
Protección de Datos, con buen presupuesto, hay una alta probabilidad de que la mayoría de los requerimientos
de las leyes de protección de datos alrededor del mundo resulten cumplidas.
Entender las expectativas de las Autoridades de Protección de Datos Personales
Se requiere de investigación para entender las expectativas fijadas por las autoridades de protección de datos,
por los tribunales y las cortes y por otras autoridades en cada jurisdicción. Las expectativas varían tratándose
16
de organizaciones del sector público, de salud, financiero, internet, servicios tercerizados, etc. El Área de
Protección de Datos debe tener en cuenta esas expectativas cuando escoja una estrategia para su programa de
protección de datos y cuando seleccione las Actividades de Gestión de Información para asegurarse que
realmente está alcanzando un estado de cumplimiento legal.
Por ejemplo, una organización que implemente la Actividad de Gestión de Información Mantener una política
que sea aplicable a los prestadores de servicios en la nube (PGD 7) tendrá que entender las expectativas e
interpretaciones apropiadas de cada ley de protección de datos personales. Esto puede estar documentado en
un documento guía de la autoridad de protección de datos personales (por ejemplo la guía de la autoridad
australiana sobre transferencias internacionales de datos 22) o podría estar contenido en las decisiones
proferidas por una Autoridad de Protección de Datos en ejercicio de sus funciones de investigación y control o
por un tribunal (p. ej. ver la decisión de la Corte de Apelaciones del Reino Unido a favor de un proveedor de
servicios de computación en la nube cuando el cliente terminó el contrato de manera anticipada 23). Si no existe
ningún documento guía de la autoridad ni decisiones basadas en el tema objeto de estudio entonces las
opiniones y conceptos formulados por firmas de abogados o consultores serán material adecuado para poder
entender la problemática concreta (por ejemplo un artículo sobre riesgos relacionado con las modalidades
contractuales más frecuentemente usadas por los proveedores multinacionales de computación en la nube en
Argentina 24).
Es crítico monitorear la dinámica natural del cumplimiento legal toda vez que las expectativas de las
Autoridades de Protección de Datos son cambiantes y pueden ser actualizadas o modificadas con base en
múltiples factores.
Entender la Ley
Entender la ley es importante y es necesario para poder identificar las Actividades de Gestión de Información
que integrarán su programa. Si una organización opera en una sola jurisdicción y necesita cumplir con una o
más leyes, el Área de Protección de Datos debe entender la regulación de protección de datos y las normas
relacionadas y cómo se aplican. Para las organizaciones multinacionales, el reto del Área de Protección de
Datos se complica por el número de requerimientos y por los conflictos entre normas. Para las organizaciones
multi-jurisdiccionales, generalmente hay dos aproximaciones para hacer frente al cumplimiento de múltiples
leyes:
 Aproximación basada en Principios
Las organizaciones que operan en múltiples jurisdicciones con recursos limitados pueden no tener los
recursos para entender de manera completa todas las obligaciones de cumplimiento legal en cada
jurisdicción desde donde operan. Tienen un gran número de requerimientos legales, obligaciones de
cumplimiento y conflictos entre leyes que deben ser abordados, pero simplemente no están en una
posición para analizar a profundidad las reglas para cada jurisdicción.
22
http://www.oaic.gov.au/images/documents/privacy/privacy-resources/privacy-business-resources/privacy-businessresource-8.pdf
23
http://www.casetrack.com/ct4plc.nsf/items/4-549-4004
24
http://www.digitalrightslac.net/es/datos-personales-empresas-y-nube-estamos-preparados/
17
Estas organizaciones pueden decidir tomar una aproximación basada en principios, donde se
seleccionan las Actividades de Gestión de Información según los principios de protección de datos
personales más recurrentes, tales como los principios de la OCDE 25 (recolección limitada, calidad,
finalidad, limitaciones al uso, medidas de seguridad, transparencia, participación individual y
responsabilidad demostrada).
Si la organización opera en la Unión Europea, la aproximación basada en principios puede usar la
Directiva 95/46/EC 26 como fuente principal para establecer el cumplimiento legal, toda vez que
delimita las reglas principales que sirven de base a las leyes nacionales a lo largo de los estados
miembros de la UE. Algunas organizaciones escogen un marco legislativo relativamente restrictivo
como base de su Programa de Protección de Datos global, con el ánimo de implementar medidas
robustas consistentes a lo largo de toda la organización, inclusive en jurisdicciones donde no hay leyes
de protección de datos personales. Tenga en cuenta que implementar un Programa de Protección de
Datos basado solamente en principios puede no resultar en un cumplimiento del 100% con todas las
obligaciones legales.
 Aproximación basada en normas
A diferencia de la aproximación basada en riesgos que se describió arriba, la aproximación basada en
normas examina los requerimientos específicos de cada ley aplicable e implementa las
correspondientes políticas y procedimientos de forma concordante. Para poder gestionar el Programa
de Protección de Datos de manera eficiente, muchas organizaciones crean un conjunto de normas
racionalizadas. En esta aproximación, el Área de Protección de Datos revisa las distintas leyes e
identifica requerimientos que son comunes a distintas jurisdicciones (ej. donde una Actividad de
Gestión de Información puede cumplir los requisitos de múltiples países) e identifica las jurisdicciones
con requerimientos adicionales (comúnmente referidos como outliers). Usando este conocimiento, el
Área de Protección de Datos puede desarrollar un conjunto único de políticas y procedimientos que
aborden la mayoría de los requerimientos y luego mapea su programa contra las leyes y regulaciones
aplicables. Esto le ayuda al Área de Protección de Datos a priorizar sus esfuerzos y maximizar la
rentabilidad de la inversión hecha en el cumplimiento legal, esto es, enfocándose primero en las
actividades que proveen el mayor grado de cobertura legal. La organización podría empezar mediante
la creación de una tabla con las reglas -leyes, regulaciones, códigos, etc.- (un ejemplo de alto nivel de
esta tabla se incluye en la sección de Estrategia Gerenciada que aparece más abajo en este documento)
y luego revisar los requerimientos específicos y crear una sola política para la organización. En la
mayoría de los casos, esa política única funcionará tal cual como está en la mayoría de las jurisdicciones
pero en algunas jurisdicciones deberá tener ligeros cambios para poder lidiar con los outliers.
25
26
http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML
18
3. Priorice con base en el nivel de riesgo
Hay muchas formas de definir y medir el riesgo en protección de datos incluyendo el riesgo de perjudicar al
titular, el riesgo de no cumplir con la ley, el riesgo del uso no autorizado de datos personales o el riesgo de
pérdida para la organización. El Área de Protección de Datos debe tener en cuenta los riesgos de protección de
datos que son más relevantes para la organización. Para poder maximizar la efectividad, el Área de Protección
de Datos debe implementar las actividades que tendrán más impacto en reducir el riesgo de protección de
datos. Los niveles de impacto variarán de una organización a otra y no hay una fórmula secreta para
determinar cuáles actividades son más efectivas para la reducción del riesgo. El Área de Protección de Datos
deberá considerar cuáles son los mayores riesgos (ej. riesgo de incidentes de seguridad por robo de
información, riesgo por uso indebido de datos personales, riesgo de no cumplimiento) y después priorizar
aquellas Actividades de Gestión de Información que las mitiguen (ej. controles técnicos de seguridad,
entrenamiento y capacitación, etc.).
4. Priorice basado en los objetivos de la organización
Cuando esté considerando los factores de riesgo y cumplimiento legal que influencian el Programa de
Protección de Datos, el Área de Protección de Datos también debe tener en cuenta los objetivos de la
organización y, hasta donde sea posible, alinearse con ellos. Si la organización tiene un apetito de riesgo bajo,
los requerimientos de cumplimiento deben ser examinados con cuidado y priorizados. Si la organización está
enfocada en la expansión global o quiere tener un sistema de gestión de archivo “cero papel”, el Área de
Protección de Datos debe considerar estos factores cuando diseñe y mejore el programa de protección de
datos.
5. Priorice basado en su nivel de recursos
Cuando esté seleccionando las Actividades de Gestión de Información, la investigación de Nymity ha
identificado una serie de criterios importantes que deben ser considerados para maximizar la efectividad de su
Programa de Protección de Datos.
 Aproveche los recursos existentes
La aproximación de Nymity es maximizar la efectividad del Programa de Protección de Datos mediante el
apalancamiento de las Actividades de Gestión de Información que ya están parcial o totalmente
implementadas. Por ejemplo, si el departamento de recursos humanos ya tiene políticas y procedimientos
para monitorear empleados, y el Área de Protección de Datos cuenta con el apoyo del área de recursos
humanos, implementar y mantener la actividad Integrar la protección de datos en las prácticas para el
monitoreo de empleados (PGD 4) requerirá de poco esfuerzo porque la estructura ya se implementó.
 Priorice las actividades que tienen apoyo en el resto de la organización
Un programa efectivo requiere que la cultura de protección de datos personales haya permeado a toda la
organización – tanto en el Área de Protección de Datos como en las áreas operativas. El apoyo de las
unidades operacionales es crítico para el éxito del programa, sin embargo, la falta de apoyo puede derivar
en un verdadero obstáculo. La Actividad de Gestión de Información Mantener políticas/procedimientos para
tratamientos secundarios de datos personales (PGD 4), por ejemplo, muy seguramente estará influenciada
por el Área de Protección de Datos pero su dueño será una unidad operativa tal como marketing. Si el Área
de Protección de Datos trata de implementar la actividad sin el apoyo de marketing, seguramente no será
adoptada. Aun cuando la actividad es importante para proteger la información personal, no sería
19
implementada de manera efectiva y no sería el mejor uso de los limitados recursos disponibles. Como tal,
el Área de Protección de Datos priorizaría aquellas actividades que tengan el apoyo de partes interesadas
clave, pues seguramente serán más exitosas.
 Priorice lo que puede ser mantenido
La responsabilidad demostrada es un proceso continuo – no un punto estático en el tiempo. Como tal, la
aproximación de Nymity en este caso es implementar las Actividades de Gestión de Información que
pueden ser mantenidas basadas en los recursos disponibles y continuos. En muchos casos, el esfuerzo
inicial de implementar una actividad será mayor que el esfuerzo de mantenerla, pero igualmente es
importante tener en cuenta el mantenimiento desde el momento mismo de la implementación. Por
ejemplo, con la actividad Mantener una política de protección de datos personales (PGD 3) el esfuerzo inicial
requerido para redactar una política que se alinee con los objetivos organizacionales y esté acorde con la
legislación aplicable, requiere recursos medios. De igual manera, la Política debe ser socializada con las
partes interesadas clave para poder lograr apoyo y compromiso y para mejorar las probabilidades de que
se adopte. Publicar o emitir la política es solo el primer paso. Después tendrá que ser revisada de manera
periódica para asegurarse de que todavía se encuentra alineada con los requisitos legislativos y con el
ambiente de negocios, y deberá ser actualizada cuando sea pertinente para reflejar cualquier cambio. No
actualizarla se traducirá en un aumento del riesgo de protección de datos. Aun cuando el esfuerzo para
llevar a cabo estas revisiones periódicas y actualizaciones requiere recursos, debe ser incluido en el
ejercicio de planeación y priorización.
C. Tres estrategias de Gestión de Programa de Protección de Datos S
Para todas las organizaciones, incluyendo las organizaciones con un Programa de Protección de Datos en
marcha, es útil implementar la actividad Mantener una Estrategia de Protección de Datos (PGD 1) para ayudar a
maximizar el programa. Esta sección aborda tres estrategias para maximizar la efectividad del Programa de
Protección de Datos:
1. Estrategia Gerenciada de Protección de Datos
El número mínimo de Actividades de Gestión de Información identificadas como “obligatorias” para la
organización. No hay ningún estándar único para determinar qué es obligatorio en una organización.
Muchas empresas grandes se enfocan en las actividades para gestionar el riesgo y lograr un estándar
de cumplimiento legal permanente. Las empresas más pequeñas pueden optar por algunas pocas
actividades críticas para maximizar los recursos disponibles lo mejor posible.
2. Estrategia Avanzada de Protección de Datos
Implica ir más allá del mínimo mediante la implementación de Actividades de Gestión de Información
que de manera más robusta incorporen prácticas de protección de datos a lo largo de toda la
organización.
3. Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability)
Esta es una estrategia de protección de datos personales para las organizaciones que estén enfocadas
en la adherencia a un estricto estándar de responsabilidad demostrada y que, en consecuencia, quieran
prepararse para estar en la capacidad de demostrar su cumplimiento y responsabilidad ante las
autoridades en cualquier momento en que sean requeridas.
20
En todas las estrategias, el Área de Protección de Datos selecciona las Actividades de Gestión de Información
específicas para su organización. Una vez que (i) ha seleccionado una de las estrategias descritas a
continuación, (ii) priorizado la implementación de las actividades basado en los recursos disponibles y (iii)
considerado los factores externos (tales como requerimientos legales y de cumplimiento, riesgo de protección
de datos y alineación con los objetivos institucionales) usted estará equipado con un mapa para alcanzar un
estándar de responsabilidad demostrada.
1. Estrategia Gerenciada de Protección de Datos
Las actividades fundamentales u
Personales
obligatorias (core) son fundamentales
La Estrategia Gerenciada de Protección de Datos Personales
para la gestión en protección de datos
busca alcanzar y mantener un nivel de responsabilidad
de la organización y se marcan por el
demostrada que alcance pero no exceda los requerimientos
Área de Protección de Datos como
mínimos necesarios para mantener Actividades de Gestión de
obligatorias. Estas actividades varían
Información fundamentales para la gestión de datos personales
entre distintas organizaciones
en las organizaciones y que han sido identificadas por el Área de
Protección de Datos como obligatorias (core). Estas actividades variarán de una organización a otra y estarán
influenciadas por el sector o por la industria específica, por la jurisdicción aplicable, la naturaleza del
tratamiento, el tipo de datos personales, el nivel de tolerancia al riesgo y otros factores.
Las organizaciones que escogen esta estrategia incluyen a aquellas con:
1. Bajo riesgo asociado al tratamiento de información personal;
2. Un Programa de Protección de Datos nuevo, donde esta Estrategia Gerenciada es un punto de inicio, o
3. Escasos recursos disponibles para el Área de Protección de Datos basados en la tolerancia al riesgo de
la organización.
Actividades de Gestión de Información Fundamentales
Como se indicó arriba, la Estrategia Gerenciada de Protección de Datos Personales se basa en el mantenimiento
de Actividades de Gestión de Información fundamentales y estas varían de organización en organización.
Muchas empresas seleccionan actividades relacionadas con gestión de riesgo y cumplimiento legal. Un ejemplo
de actividad fundamental relacionada con cumplimiento legal sería Mantener un aviso de privacidad que detalle
las políticas de la organización en el manejo de los datos personales (PGD 8), toda vez que la mayoría de las leyes
requieren que se dé aviso al titular sobre la manera como serán tratados sus datos personales. Un ejemplo de
una Actividad de Gestión de Información para gestionar el riesgo es Mantener un programa de capacitación
básico para todos los empleados (PGD 5) toda vez que muy pocas leyes contienen un requerimiento explícito de
entrenamiento en protección de datos, pero el Área de Protección de Datos usualmente considera que esa es
una actividad crítica para disminuir los niveles de riesgo por cuanto los empleados que entiendan el tema serán
menos propensos a incurrir en una práctica que genere un detrimento o ponga en peligro a la empresa.
¿Cómo se definen las Actividades de Gestión de Información fundamentales y sus respectivos dueños?
Como se discutió en la sección 3A, el punto de arranque para cualquier estrategia es identificar el estado del
Programa de Protección de Datos dentro de la organización (es el primer paso en Llevar a cabo
autoevaluaciones aplicadas por el Área de Protección de Datos (PGD 12) que identifica todas las actividades que
actualmente están implementadas, planeadas o deseadas y las que, por descarte, no son aplicables). Esta
21
actividad también identifica a los dueños de cada actividad y los recursos requeridos para implementarla y
mantenerla.
Con base en esa referenciación del estado del programa, el Área de Protección de Datos determina cuáles de
las actividades son fundamentales. Como se indicó arriba, las actividades fundamentales varían de una
organización a otra dependiendo de muchos factores.
El Cuaderno de Trabajo de Nymity 27 se actualiza para reflejar si la actividad está designada como fundamental.
Si una actividad se designa como Fundamental-Deseada (bajo el entendido de que no hay recursos disponibles
para implementar la actividad), el cuaderno se vuelve a actualizar de forma que refleje un caso de negocio para
esa actividad. Si una Actividad de Gestión de Información es planeada, deseada o implementada pero no es
fundamental, debe ser igualmente registrada.
Cuaderno de trabajo (ejemplo ilustrativo)
Actividad de
Gestión de
Información
Asignar
responsabilidades
por la adecuada
gestión de datos
personales en la
alta dirección y en
la gerencia (PGD 1)
Estado
Dueño(s)
Recursos para
implementar
Recursos para
mantener
Business
Case
Core?
Implementada
Área de
Protección
de Datos
Soporte de la
Gerencia al
Oficial de
Protección de
Datos
% FTE para el
rol de Oficial
de Protección
de Datos
Asegurar la
efectividad
del PPD
Sí
Descripción /
Comentario
Evidencia
Ya completado como parte de la Autoevaluación
Identificar las Actividades de Gestión de Información Fundamentales
Para ayudarle al Área de Protección de Datos a identificar las Actividades de Gestión de Información
fundamentales, la tabla siguiente provee un listado de aquellas que la investigación de Nymity ha identificado
como claves para un Programa de Protección de Datos. La primera columna identifica las “Prácticas Comunes”,
es decir, aquellas Actividades de Gestión de Información fundamentales “comúnmente implementadas” por las
organizaciones, según la experiencia e investigación de Nymity.
La tabla también identifica Actividades de Gestión de Información fundamentales relacionadas con
cumplimiento legal y las discrimina según reglas de origen:


27
Guías de la OCDE: Las Guías de la OCDE son no vinculantes y fueron diseñadas para armonizar las leyes
de protección de datos personales a través de los países miembros de la OCDE. Actualmente son la
base de un gran número de leyes de protección de datos y de regulaciones alrededor del mundo aun
cuando no son obligatorias.
Propuesta de Reglamento General de la Unión Europea: El Reglamento General de Protección de
Datos de la Unión Europea (“Reglamento UE” ) está en proceso de revisión actualmente y podría ser
adoptado a finales de 2015 con miras a ser implementado en el curso de los próximos años.
Reemplazará la actual Directiva de la UE 95/46/EC y las leyes nacionales, por lo cual Europa contará con
una única regulación para todos sus estados miembros.
El Cuaderno de Trabajo Nymity está disponible en www.nymity.com/getting-to-accountability
22



28
Normas Corporativas Vinculantes (BCR por sus siglas en inglés): Las Normas Corporativas Vinculantes
(BCR) son reglas internas (Códigos de Conducta) de un grupo de compañías multinacional, que define
su política global con relación a las transferencias de información dentro de su grupo de compañías a
entidades localizadas en países que no cuentan con un nivel adecuado de protección de datos. El
esquema BCR es un marco voluntario que le permite a las organizaciones demostrarle su nivel de
responsabilidad a las Autoridades de Protección de Datos y obtener aprobación de estas para realizar
esas transferencias. Una vez son aprobadas, la organización obtiene beneficios tales como no tener que
recurrir al mecanismo de usar cláusulas contractuales estándar cada vez que le transfiere datos
personales a otra compañía de su grupo.
Acuerdo de Puerto Seguro entre EE.UU y la UE (US-EU Safe Harbor): El marco de Puerto Seguro entre
EE.UU y la UE es un esquema de autorregulación desarrollado para permitirle a las compañías europeas
transferir información a los Estados Unidos al tiempo que dan cumplimiento a las disposiciones de la
Directiva 95/46/EC. Su ejecución está en cabeza de la Comisión Federal de Comercio (FTC) y las
compañías estadounidenses sujetas a la jurisdicción de la FTC (muchos bancos y firmas de
telecomunicaciones se encuentran excluidas) deben registrarse anualmente y demostrar anualmente
que mantienen los niveles de cumplimiento con el Sistema y que honran de manera adecuada sus
políticas y avisos de protección de datos.
Sistema APEC de Reglas Transfronterizas de Protección de Datos” (APEC CBPR): El Sistema APEC
(CBPR) fue desarrollado por las economías que participan en APEC para facilitar los flujos
transfronterizos de datos personales. El sistema requiere que las compañías que en él participan
desarrollen e implementen políticas de protección de datos que sean consistentes con el Marco de
Protección de Datos de APEC. Estas políticas y prácticas deben ser declaradas como consistentes con
los mínimos del programa CBPR por un Agente de Responsabilidad Demostrada (Accountability Agent)
que es una entidad independiente pública o privada formalmente reconocida por el Sistema.
Adicionalmente, deben ser legalmente exigibles 28.
http://www.cbprs.org
23
Actividades de Gestión de Información Fundamentales comunes
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
1. Mantener una estructura de gobernanza
Realizar una Evaluación Corporativa de Riesgo en materia de
protección de datos
Mantener una Estrategia de Protección de Datos
Mantener una misión/visión del programa de protección de
datos
Mantener una descripción de funciones para las personas
responsables de protección de datos (ej. oficiales de
protección de datos)
Asignar responsabilidades por la adecuada gestión de datos
personales en la alta dirección y en la gerencia
Asignar recursos para la adecuada implementación y soporte
del programa de protección de datos (ej. presupuesto,
personal)
Asignar responsabilidades en materia de protección de datos
a través de toda la organización
Sostener comunicaciones regulares entre las personas a cargo
y responsables de protección de datos
Consultar al interior de la organización con las partes
interesadas en protección de datos
Reportar periódicamente sobre el estado del programa de
protección de datos (ej. Asamblea de Accionistas, Junta
Directiva, Consejo de Administración)
Integrar la protección de datos en las evaluaciones y reportes
de gestión de riesgos del negocio
Integrar la protección de datos en un Código de Conducta
Integrar la protección de datos en los códigos de ética
Mantener una estrategia que alinee las actividades con los
requisitos legales (ej. resolución de conflictos, diferencias en
estándares, creación de conjuntos de reglas racionalizadas)
Exigir a los empleados que reconozcan y se adhieran a las
políticas de protección de datos
29
Prácticas
30
comunes
Guías OCDE
31
Reglamento
32
EU
BCR
33
Puerto Seguro
EEUU - UE
APEC CBPR
34
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Solo las Actividades de Gestión de Información que están en por lo menos uno de los marcos fueron incluidas. Para un listado completo ver el Marco Nymity de
Gobernanza en Privacidad y Protección de Datos en www.nymity.com/pmaf
30
Las Actividades de Gestión de Información comúnmente implementadas como actividades fundamentales por las organizaciones, según la experiencia de Nymity.
31
Guías OCDE de Privacidad y Flujos Transfronterizos de Información revisadas en 2013.
32
Propuesta de Reglamento General de Protección de Datos de la Unión Europea. Versión usada: Documento número: 15385/14 (Bruselas, 19 de diciembre de 2014)
33
Normas Corporativas Vinculantes
34
Sistema APEC de Reglas Transfronterizas de Privacidad
24
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
Reportar periódicamente sobre el estado del programa de
protección de datos a las partes interesadas externas, según
aplique (ej. reportes anuales, terceras partes, clientes)
2. Mantener un inventario de datos personales
Mantener un inventario de las principales bases de datos
(qué datos personales son almacenados y en dónde)
Clasificar los datos personales tratados por tipo (ej. sensibles,
privados, semi-privados, públicos)
Obtener la autorización para el tratamiento de datos (cuando
el consentimiento previo es necesario)
Registrar las bases de datos ante la autoridad de protección
de datos (cuando la inscripción sea necesaria)
Mantener diagramas de flujo para flujos de datos clave (ej.
entre sistemas, entre procesos, entre países)
Mantener documentación respecto de todos los flujos
transfronterizos de datos (ej. país, instrumentos utilizados
como base para dichas transferencias, tales como los de
Puerto Seguro (Safe Harbour), cláusulas contractuales,
normas corporativas vinculantes o declaraciones de
conformidad u opiniones de la autoridad de protección de
datos)
Hacer uso de Normas Corporativas Vinculantes como un
mecanismo de transferencia de datos
Hacer uso de Cláusulas Contractuales Estándar o contratos de
transmisión y/o remisión de datos como mecanismo de
transferencias de datos
Hacer uso del Sistema de Reglas de Flujo Transfronterizo de
Datos de APEC
Hacer uso del marco de Puerto Seguro (Safe Harbour) como
mecanismo para la transferencia de datos
Hacer uso de la aprobación, declaración de conformidad u
opinión de la autoridad de protección de datos como
mecanismo de transferencia
Hacer uso del sistema de adecuación de terceros países o una
de las medidas alternativas (ej. consentimiento, ejecución de
contrato, interés público), como mecanismo de transferencia
3. Mantener una política de protección de datos
Mantener una política de protección de datos personales
Mantener una política de protección de datos de empleados
en forma separada
Obtener la aprobación de la política de protección de datos
por parte de la Alta Dirección
Documentar las bases legales del tratamiento de datos
Prácticas
30
comunes
Guías OCDE
X
X
31
Reglamento
32
EU
X
X
BCR
33
Puerto Seguro
EEUU - UE
X
APEC CBPR
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
25
X
34
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
personales
Documentar los principales lineamientos para la obtención
del consentimiento
4. Integrar la protección de datos en las operaciones
Mantener políticas/procedimientos para la recolección y uso
de datos personales sensibles (incluyendo datos biométricos)
Prácticas
30
comunes
Mantener políticas/procedimientos para mantener la calidad
de los datos
Mantener políticas/procedimientos para
seudonimizar/anonimizar los datos personales
Mantener políticas/procedimientos para revisar los procesos
implementados total o parcialmente por medios
automatizados
Mantener políticas/procedimientos para tratamientos
secundarios de datos personales
Mantener políticas/procedimientos para la obtención del
consentimiento
Mantener políticas/procedimientos para la destrucción
segura de datos personales
Integrar la protección de datos en el uso de “cookies” y
mecanismos de rastreo y localización
Integrar la protección de datos en las prácticas de retención
de registros
Integrar la protección de datos en las prácticas de marketing
directo
Integrar la protección de datos en las prácticas de marketing
vía correo electrónico
Integrar la protección de datos en las prácticas de marketing
vía telefónica (telemercadeo)
Integrar la protección de datos en las prácticas de publicidad
conductual (behavioural advertising)
Integrar la protección de datos en las prácticas de
contratación
Integrar la protección de datos en las prácticas de verificación
de antecedentes de empleados
Integrar la protección de datos en las prácticas de redes
sociales
Integrar la protección de datos en las
políticas/procedimientos BYOD (por sus siglas en inglés “Bring
your own device” – dispositivos personales en el lugar de
trabajo)
Integrar la protección de datos en las prácticas de salud y
seguridad
X
Guías OCDE
X
31
Reglamento
32
EU
BCR
33
Puerto Seguro
EEUU - UE
X
X
X
APEC CBPR
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
26
34
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
Integrar la protección de datos en la interacción con los
comités de trabajo
Integrar la protección de datos en las prácticas para el
monitoreo de empleados
Integrar la protección de datos en las prácticas de monitoreo
de correos electrónicos
Integrar la protección de datos en las prácticas de uso de
sistemas de video-vigilancia
Integrar la protección de datos en el uso de dispositivos
móviles de geo-localización (de rastreo y/o localización)
Integrar la protección de datos cuando se delegue el acceso a
las cuentas de correo electrónico de empleados de la
compañía (ej. vacaciones, permisos, terminación)
Integrar la protección de datos para llevar a cabo
investigaciones internas
Integrar la protección de datos en las prácticas de revelación
de información personal para procedimientos legales
Integrar la protección de datos en las operaciones que
implican interacción directa con
clientes/pacientes/ciudadanos (ej. ventas, provisión de
servicios de salud, procesamiento de impuestos)
Integrar la protección de datos en los procedimientos
internos (back-office) de la organización (ej. administración
de instalaciones)
Integrar la protección de datos en las operaciones financieras
(ej. créditos, pagos, procesamiento de transacciones)
Integrar la protección de datos en las prácticas de
investigación
5. Mantener un programa de capacitación y concientización
Llevar a cabo el análisis de las capacitaciones necesarias de
acuerdo a las responsabilidades de cada puesto de trabajo
Mantener un programa de capacitación básico para todos los
empleados
Capacitar a los nuevos empleados que tengan acceso a
puestos de trabajo con implicaciones en materia de
protección de datos
Mantener un programa de capacitación de segundo nivel con
contenidos específicos para cada puesto de trabajo
Llevar a cabo regularmente capacitaciones de actualización
que reflejen nuevos desarrollos
Integrar la protección de datos en otros programas de
capacitación, tales como los entrenamientos de recursos
humanos, seguridad, centro de llamadas (call center) o ventas
Prácticas
30
comunes
Guías OCDE
31
Reglamento
32
EU
BCR
33
Puerto Seguro
EEUU - UE
APEC CBPR
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
27
34
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
Medir la participación en las actividades de capacitación de
protección de datos (ej. número de participantes,
calificaciones)
Exigir terminar la capacitación en protección de datos como
parte de las revisiones de desempeño
Difundir boletines de protección de datos o incorporar el
tema en las comunicaciones corporativas existentes
Publicar en forma regular material para crear conciencia
sobre protección de datos (ej. carteles, intranet y videos)
Mantener una intranet, un blog o un repositorio de
información y preguntas frecuentes sobre protección de
datos
Llevar a cabo un día/semana anual de protección de datos
Medir la comprensión de los conceptos sobre protección de
datos mediante exámenes
Proporcionar información sobre protección de datos en las
pantallas de inicio (login) de los sistemas
Mantener a los responsables de la protección de datos
debidamente certificados y proveer educación profesional
continuada
Llevar a cabo por una sola vez capacitación táctica y de
comunicación para enfrentar cuestiones específicas y temas
de alta relevancia
Proporcionar educación continuada y entrenamiento al
personal del Área de Protección de Datos (ej. conferencias,
webinars, invitar conferencistas)
6. Manejo de riesgos de seguridad de la información
Llevar a cabo una evaluación de riesgos de seguridad que
incluya riesgos en protección de datos
Mantener una política de seguridad de la información
Implementar medidas de seguridad tecnológicas (ej.
detección de intrusos, firewalls, monitoreo)
Mantener medidas de seguridad administrativas y técnicas
para encriptar los datos almacenados y las transmisiones,
incluyendo medios extraíbles
Mantener una política sobre los usos aceptables de los
recursos de información
Mantener procedimientos para restringir el acceso a
información personal (ej. acceso basado en roles o separado
según funciones)
Contar con una política de seguridad corporativa (protección
de las instalaciones físicas y activos tangibles)
Prácticas
30
comunes
Guías OCDE
31
Reglamento
32
EU
BCR
33
Puerto Seguro
EEUU - UE
APEC CBPR
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
28
34
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
Mantener medidas de seguridad en recursos humanos (ej.
preselección, valoración de desempeño)
Mantener respaldos (backups) y sistemas de continuidad del
negocio
Mantener una estrategia de prevención de pérdida de datos
Mantener procedimientos de actualización de perfiles de
seguridad con base en las actualizaciones del sistema y
corrección de errores
Llevar a cabo exámenes regulares de ubicación de datos
personales
Mantener verificaciones de seguridad
7. Administración de riesgos con terceros
Mantener requerimientos de protección de datos personales
con terceros (proveedores, encargados, afiliados)
Mantener procedimientos para celebrar contratos o
convenios con todos los encargados
Llevar a cabo el análisis de debida diligencia (due diligence) de
las prácticas sobre protección de datos y seguridad de la
información de los potenciales proveedores/encargados
Mantener un procedimiento de evaluación de riesgos sobre
protección de datos en los procesos con los proveedores
Mantener una política que sea aplicable a los prestadores de
servicios en la nube
Mantener procedimientos que establezcan las acciones por
no cumplimiento de los contratos o convenios
Llevar a cabo análisis de debida diligencia (due diligence)
continuos sobre las prácticas de protección de datos y
seguridad de la información de proveedores/encargados con
base en un análisis de riesgos
Revisar los contratos de largo plazo para incluir riesgos de
protección de datos nuevos o en evolución
8. Mantener avisos de privacidad
Mantener un aviso de privacidad que detalle las políticas de
la organización en el manejo de los datos personales
Poner a disposición un aviso de privacidad en todos los
puntos en los que se recolecte información personal
Poner a disposición el aviso en medios visibles como letreros
y carteles
Poner a disposición el aviso en comunicaciones de marketing
(ej. correos electrónicos, folletos, ofertas)
Poner a disposición el aviso en todos los formatos, contratos
y términos de uso
Prácticas
30
comunes
Guías OCDE
31
Reglamento
32
EU
X
BCR
33
Puerto Seguro
EEUU - UE
APEC CBPR
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
29
X
X
X
X
34
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
Mantener guiones para uso de los empleados para dar a
conocer el aviso de privacidad
Mantener un aviso de privacidad para el tratamiento de
datos personales de empleados
Mantener certificaciones de privacidad o sellos de confianza
para incrementar la confianza de los clientes
Proveer capacitaciones en protección de datos a las personas
(ej. para prevenir el robo de identidad)
9. Mantener procedimientos para peticiones, quejas y
reclamos y ejercicio de derechos
Mantener procedimientos para atender peticiones, quejas y
reclamos
Mantener procedimientos para dar respuesta a solicitudes de
acceso
Mantener procedimientos para responder a solicitudes de
actualización o revisión de datos personales
Mantener procedimientos para contestar solicitudes de
eliminación de información de una base de datos (opt-out)
Mantener procedimientos para dar respuesta a solicitudes de
información
Mantener preguntas y respuestas frecuentes para clientes
Mantener procedimientos para el escalamiento de quejas o
solicitudes de acceso complejas
Mantener procedimientos para analizar el fondo y las razones
de las quejas de protección de datos
Mantener mediciones para quejas en materia de protección
de datos (ej. número, motivos recurrentes)
10. Monitorear las nuevas prácticas operacionales
Mantener un marco de Privacidad por Diseño para todos los
sistemas y productos que se desarrollen
Mantener guías y formatos para las Evaluaciones de Impacto
de Privacidad (PIA por sus siglas en inglés)
Llevar a cabo PIA para nuevos programas, sistemas y
procesos
Mantener un procedimiento para enfrentar problemas de
protección de datos detectados durante las PIA
Mantener un procedimiento de autorización o visto bueno
que involucre al Área de Protección de Datos
Mantener procesos de ciclo de vida del producto para hacer
frente a los impactos en materia de protección de datos que
generen los cambios a programas, sistemas o procesos
existentes
Mantener mediciones para las PIA (ej. número de
Prácticas
30
comunes
Guías OCDE
31
Reglamento
32
EU
BCR
33
Puerto Seguro
EEUU - UE
APEC CBPR
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
30
34
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
evaluaciones completadas, tiempos de respuesta)
11. Mantener un programa efectivo de gestión de incidentes
y vulneraciones de datos
Mantener un protocolo documentado de respuesta a
incidentes/brechas de datos personales
Mantener notificaciones sobre los incidentes (a los titulares
afectados), reportes (a las autoridades de protección de
datos, centrales de riesgo, policía, etc.) y protocolos
Mantener un registro de incidentes para rastrear su
naturaleza/tipo
Mantener mediciones de incidentes/brechas de datos
personales (ej. naturaleza del incidente, riesgo, causa)
Llevar a cabo pruebas periódicas a los protocolos de
seguridad, documentar los hallazgos y los cambios aplicados
Involucrar a un proveedor de respuestas de incidentes
Involucrar a un equipo de investigación forense
Obtener un seguro con cobertura de incidentes de datos
personales
Mantener un protocolo de preservación de registros para
proteger el histórico de información
12. Monitoreo de prácticas de manejo de datos
Llevar a cabo autoevaluaciones aplicadas por el Área de
Protección de Datos
Llevar a cabo auditorías/análisis a la medida con base en
quejas, requerimientos e incidentes/brechas
Llevar a cabo auditorías/análisis del programa de protección
de datos fuera del Área de Protección de Datos (ej. auditorías
internas)
Hacer un benchmark de los resultados de las
auditorías/análisis (ej. comparación con auditorías previas,
comparación con otras unidades de negocio)
Llevar a cabo revisiones frecuentes e integrales de los
procedimientos
Llevar a cabo evaluaciones haciendo uso de terceros
verificadores
Mantener mediciones del programa de protección de datos
13. Seguimiento a criterios externos
Llevar a cabo investigaciones continuas sobre cambios
regulatorios
Mantener una suscripción a un servicio de reporte de
cumplimiento o a una actualización de una firma de abogados
para mantenerse informado sobre nuevos desarrollos
Asistir/participar en conferencias de protección de datos,
Prácticas
30
comunes
Guías OCDE
31
Reglamento
32
EU
BCR
33
Puerto Seguro
EEUU - UE
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
APEC CBPR
X
X
X
X
31
34
Marco NYMITY de Gobernanza en Privacidad y Protección
29
de Datos ™
eventos de asociaciones de industrias o grupos de expertos
Registrar/reportar sobre el seguimiento de nuevas fuentes de
información legal o enmiendas a la fuente actual
Buscar la opinión de abogados expertos en relación con
nuevas disposiciones de la ley
Documentar la implementación de nuevos requerimientos
(así como la decisión de no implementar ningún cambio,
incluyendo las razones de dicha decisión)
Revisar o participar en estudios relativos a mejores prácticas
para el sistema de gestión de protección de datos
Prácticas
30
comunes
Guías OCDE
31
Reglamento
32
EU
BCR
33
Puerto Seguro
EEUU - UE
X
32
APEC CBPR
34
Caso de Negocio para consecución de recursos en una Estrategia Gerenciada de Protección de Datos
La Estrategia Gerenciada de Protección de Datos requiere que los recursos le sean suministrados a los dueños de cada
actividad. Las Actividades de Gestión de Información Fundamentales que estén implementadas deben mantenerse, lo
cual requiere de recursos suficientes, y las no implementadas deben dotarse de recursos para alcanzar y mantener un
programa de protección de datos basado en la estrategia gerenciada.
El caso de negocio para la estrategia gerenciada es relativamente sencillo. El Área de Protección de Datos justifica los
recursos para mantener un mínimo de Actividades de Gestión de Información que son identificadas por el Área de
Protección de Datos como obligatorias para esa organización. Entre otras, estas actividades pueden ser obligatorias por
las siguientes razones:
1. Cumplimiento legal: para poder cumplir con la ley y con las expectativas de las Autoridades de Protección de
Datos;
2. Gestión de Riesgos: para gestionar el riesgo de protección de datos (riesgo de protección de datos ), o
3. Objetivos de negocios: para alinearse con los objetivos clave del negocio.
2. Estrategia Avanzada de Protección de Datos Personales
La Estrategia Avanzada de Protección de Datos se cimienta sobre la Estrategia Gerenciada, pero va más allá de los
mínimos e incorpora también Actividades de Gestión de Información adicionales a lo largo de la organización,
incluyendo actividades que no son fundamentales.
El Área de Protección de Datos en estas organizaciones empezará por definir las actividades fundamentales tal como se
definió en la sección anterior para la Estrategia Gerenciada. Después de esto se aumentará el programa de protección
de datos con actividades no fundamentales. Las organizaciones que escogen esta aproximación generalmente pueden
tener:
1. Un nivel alto de riesgo asociado a su actividad;
2. Una cultura de cumplimiento legal, y una baja tolerancia al riesgo, o
3. Han tenido un incidente de seguridad grave o han estado sujetos a una acción de supervisión por parte de la
APD.
Actividades de Gestión de Información Electivas
En la Estrategia Gerenciada se discutió cómo determinar si una
Actividad de Gestión de Información es o no fundamental. En la
Estrategia Avanzada, las Actividades de Gestión de Información no
fundamentales que son deseadas, planificadas e implementadas se
denominan actividades electivas. Las actividades electivas son
actividades que van más allá del mínimo requerido para el
cumplimiento legal y la gestión del riesgo. Son las actividades que la
organización ha elegido implementar para reforzar la protección de
datos personales a lo largo de la organización.
Las actividades electivas son aquellas que
van más allá del mínimo requerido para
cumplir con la ley y con una adecuada
gestión del riesgo. Son actividades que la
organización ha escogido implementar para
incorporar una mejor gestión en protección
de datos a lo largo de la organización.
33
Las actividades pueden ser electivas (no fundamentales) porque no están directamente relacionadas con el
cumplimiento legal o con factores de riesgo tal como la actividad Llevar a cabo un día/semana anual de protección de
datos (PGD 5), o porque son sofisticadas tal como Mantener mediciones del programa de protección de datos (PGD 12).
La siguiente tabla contiene ejemplos de Actividades de Gestión de Información fundamentales y electivas que son
usuales en algunos sectores e industrias seleccionadas.
Industria/Sector
Educación
Servicios Financieros
Salud
Juegos y azar
Manufacturas
Sin ánimo de lucro/ONG
Farmacéuticas
Sector público
Retail
Telecomunicaciones
Ejemplos de Actividades Fundamentales
Mantener procedimientos para dar
respuesta a solicitudes de acceso (PGD 9)
Ejemplos de Actividades Electivas
Exigir terminar la capacitación en protección
de datos como parte de las revisiones de
desempeño (PGD 5)
Mantener notificaciones sobre los incidentes (PMP 11) Mantener mediciones de
(a los titulares afectados), reportes (a las
incidentes/brechas de datos personales (ej.
autoridades de protección de datos,
naturaleza del incidente, riesgo, causa) (PGD
centrales de riesgo, policía, etc.) y
11)
protocolos (PGD 11)
Mantener medidas de seguridad
Mantener preguntas y respuestas frecuentes
administrativas y técnicas para encriptar los para clientes (PGD 9)
datos almacenados y las transmisiones,
incluyendo medios extraíbles (PGD 6)
Integrar la protección de datos en las
Obtener un seguro con cobertura de
prácticas de uso de sistemas de videoincidentes de datos personales (PGD 11)
vigilancia (PGD 4)
Llevar a cabo el análisis de debida diligencia Integrar la protección de datos en las
(due diligence) de las prácticas sobre
prácticas de salud y seguridad (PGD 4)
protección de datos y seguridad de la
información de los potenciales
proveedores/encargados (PGD 7)
Poner a disposición un aviso de privacidad
Asistir/participar en conferencias de
en todos los puntos en los que se recolecte
protección de datos, eventos de
información personal (PGD 8)
asociaciones de industrias o grupos de
expertos (PGD 13)
Integrar la protección de datos en las
Llevar a cabo evaluaciones haciendo uso de
prácticas de investigación (PGD 4)
terceros verificadores (PGD 12)
Registrar las bases de datos ante la
Integrar la protección de datos en las
autoridad de protección de datos (cuando la prácticas de redes sociales (PGD 9)
inscripción sea necesaria) (PGD 9)
Integrar la protección de datos en las
Integrar la protección de datos en las
prácticas de marketing vía correo
prácticas de publicidad conductual
electrónico (PGD 4)
(behavioural advertising) (PGD 4)
Mantener políticas/procedimientos para
Integrar la protección de datos en las
tratamientos secundarios de datos
políticas/procedimientos BYOD (por sus
personales (PGD 4)
siglas en inglés “Bring your own device” –
dispositivos personales en el lugar de
trabajo) (PGD 4)
Tabla 3: Ejemplos de Actividades de Gestión de Información Fundamentales y Electivas
Caso de negocio para conseguir recursos para una Estrategia Avanzada de Protección de Datos
Como se discutió arriba, el caso de negocio asociado a una Estrategia Gerenciada de Protección de Datos es
relativamente sencillo pues se relaciona de manera directa con el cumplimiento legal y la gestión de riesgos, pero el caso
34
de negocio para que los dueños de las diferentes actividades puedan implementar y mantener actividades electivas de
protección de datos personales muchas veces es más difícil de justificar, especialmente cuando los recursos son
limitados. El caso de negocio para una Estrategia Avanzada de Protección de Datos incluye:
1. La reducción adicional del riesgo;
2. El establecimiento de una cultura de protección de datos o la consecución de un “programa ejemplar” de
protección de datos personales.
3. La integración completa de la protección de datos personales en todos los productos y desarrollos de programa
para gestionar mejor el riesgo de protección de datos;
4. Hacer de la protección de datos personales un diferenciador de competitividad; por ejemplo para los
encargados que gestionan procesos tercerizados que quieren ir más allá de los requerimientos impuestos por el
cliente, y
5. Para preparar a la organización para un mecanismo de Normas Corporativas Vinculantes (BCR), APEC, CBPR, o
cualquier otro mecanismo opcional de transferencia de datos personales que vaya más allá del cumplimiento
legal.
3. Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability)
La Responsabilidad Demostrada implica el reporte permanente del mantenimiento y estado de las Actividades de
Gestión de Información, soportado por evidencia concreta. Las Actividades de Gestión de Información se determinan
con base en la estrategia gerenciada o la estrategia avanzada que se describieron anteriormente. Demostrar el
cumplimiento es el paso siguiente, e involucra contextualizar la evidencia contra una serie de reglas legales. La
Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability) es para las organizaciones que
tienen una necesidad de negocio para justificar el tener que estar preparadas para probar su nivel de responsabilidad
y/o cumplimiento legal incluyendo:
1. Prepararse para una investigación administrativa mediante la recopilación de evidencia constante sobre el
estado del programa de protección de datos;
2. Cumplir con requerimientos actuales o futuros que impliquen probar la responsabilidad demostrada, por
ejemplo el artículo 22 de la propuesta de Reglamento de Protección de Datos de la UE o las disposiciones del
Decreto 1377 de 2013 en Colombia.
3. Cumplir con el requerimiento de las BCR europeas de monitorear el cumplimiento de las reglas fijadas y tener
los resultados de ese monitoreo disponibles para las Autoridades de Protección de Datos quienes podrán
solicitarlo en cualquier momento ;
4. Alcanzar los estándares fijados por las Autoridades de Protección de Datos, por ejemplo en guías sobre
responsabilidad demostrada como las publicadas por Canadá, Hong Kong, Francia, Australia, y Colombia 35 ;
5. Prepararse para una auto certificación bajo el marco del Acuerdo de Puerto Seguro de EE.UU – UE o prepararse
para una auditoría externa;
6. Bajar los costos de las auditorías externas por medio de la recopilación anticipada de documentación e
información para presentar a los auditores:
7. Mantener documentación para los sellos de confianza y buenas prácticas (o de accountability agents en las
economías participantes del marco de protección de datos de APEC);
35
Ver sección 2 de este estudio
35
8. Alcanzar un elemento de competitividad diferenciador, por ejemplo para los proveedores de servicios
tercerizados que quieren demostrar ante sus clientes que cuentan con un estándar de responsabilidad
demostrada;
9. Proveer mecanismos de reporte para los distintos niveles en la compañía: resúmenes ejecutivos para la alta
dirección y reportes detallados para las áreas operativas y de control interno, y
10. Demostrar el liderazgo mediante la implementación de un programa de alto nivel.
La documentación como evidencia
El aspecto más poderoso de la Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability) es
que la documentación que se usará como evidencia se genera como un sub-producto de la implementación de las
Actividades de Gestión de Información. En las secciones anteriores, se discutió qué actividades implementar y como
priorizarlas en las estrategias gerenciadas y avanzadas. Una vez se implementa una actividad, no hay ninguna necesidad
de que el Área de Protección de Datos o la unidad operativa produzcan documentos adicionales toda vez que cada
Actividad de Gestión de Información, sea fundamental o electiva, produce su propia documentación. Esta estrategia
tiene dos pasos:
1. Actualizar el Cuaderno de Trabajo llenando la columna de Evidencia, y
2. Demostrar la responsabilidad usando el Scorecard Nymity™ y, si resulta aplicable, demostrar el cumplimiento
usando una Tabla de Interoperabilidad de Accountability y Cumplimiento.
Como la documentación ya existe, los recursos adicionales requeridos para esta estrategia son mínimos comparados con
la provisión de recursos hecha para el Programa de Protección de Datos en sí.
La tabla de estado demuestra la responsabilidad
Para implementar la Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability), el primer paso es
proceder al llenado de la columna de Evidencia en el Cuaderno de Trabajo con toda la documentación disponible para
mostrar que la actividad está implementada y mantenida. Esto ocurriría durante la Actividad de Gestión de Información
Llevar a cabo autoevaluaciones aplicadas por el Área de Protección de Datos (PGD 12). Para las actividades implementadas
la evidencia puede parecer obvia, pero incluso para las actividades planeadas y deseadas, probablemente habrá
evidencia disponible, aun cuando a veces deba ser actualizada.
Cuaderno de trabajo (ejemplo ilustrativo)
Actividad de Gestión
de Información
Estado
Dueño(s)
Recursos para
implementar
Asignar
responsabilidades por
la adecuada gestión
de datos personales
en la alta dirección y
en la gerencia (PGD1)
Implementada
Área de
Protección
de Datos
Soporte de la
Gerencia al
Oficial de
Protección de
Datos
Recursos
para
mantener
% FTE para
el rol de
Oficial de
Protección
de Datos
Caso de
negocio
Fundam
ental?
Descripción /
Comentario
Evidencia
Asegurar la
efectividad
del
programa
Sí
El Oficial de
Protección de
Datos es Juan
Pérez, con
nivel de VP y
le reporta al
Presidente de
la compañía
Descripción de
las funciones
del Oficial de
Protección de
Datos
Organigramas
Política de
Protección de
datos
Esta tabla, una vez se llena completamente y se mantiene, le permite a la organización demostrar la responsabilidad.
Representación gráfica de la demostración de responsabilidad con el Scorecard™ gratuito de Nymity
36
La herramienta gratuita de Nymity Data Privacy Accountability Scorecard (“Scorecard Nymity”) complementa el
Cuaderno de Trabajo y es un marco pragmático, escalable, y basado en evidencias concretas que le permite a las
organizaciones demostrar la responsabilidad mediante el monitoreo, las mediciones y el reporte derivado de las
Actividades de Gestión de Información. Usando esta hoja de cálculo gratuita de Nymity 36, el Área de Protección de Datos
y los dueños de cada actividad pueden responder “sí” o “no” a las preguntas de recopilación de evidencia que se
relacionan con las Actividades de Gestión de
Información. Con base en las respuestas, el score se
calcula como un porcentaje de en la estrategia
Gerenciada (porcentaje de las actividades
fundamentales completadas, con evidencia) o
porcentaje de la estrategia avanzada (porcentaje de
las actividades electivas completadas, con evidencia).
La aproximación del scorecard para mostrar
gráficamente la demostración de responsabilidad se
alinea con las Estrategias Gerenciadas y Avanzadas
descritas anteriormente y le permite al Área de
Protección de Datos comunicar el estado de su programa de protección de datos de manera permanente. Cuando se
escoja una Estrategia Gerenciada (solo actividades fundamentales), el score de responsabilidad demostrada estará al
mismo nivel o por debajo de la línea objetivo. Si se implementa una estrategia Avanzada, las actividades electivas
llevarán el score por encima de la línea objetivo, bien sea como score potencial o porcentaje avanzado. Casi toda la
información requerida para completar y mantener el scorecard se recoge durante la fase de autoevaluación:
información sobre la implementación de las Actividades de Gestión de Información seleccionadas, dueños y evidencia
disponible. El único requisito adicional es designar una frecuencia para cada Actividad de Gestión de Información (ej.
anual o trimestral). El elemento de frecuencia es importante porque refuerza el compromiso de los dueños con las
respectivas actividades a su cargo y promueve un mantenimiento proactivo de las Actividades de Gestión de
Información.
Para información adicional e instrucciones detalladas sobre el uso del Nymity Scorecard, por favor refiérase a nuestra
publicación gratuita, A Privacy Office Guide to Demonstrating Accountability 37.
Demostración del cumplimiento legal
La documentación o evidencia recolectada para demostrar responsabilidad puede ser reutilizada para demostrar el
cumplimiento legal cuando sea solicitado por una APD. Esta aproximación, que ya ha sido probada en la práctica, le
permite al Área de Protección de Datos demostrar el cumplimiento de las leyes y regulaciones existentes usando la
documentación existente. Para demostrar el cumplimiento legal, el Área de Protección de Datos crea una Tabla de
Interoperabilidad de Responsabilidad Demostrada y Cumplimiento para cada ley, regulación o marco aplicable como se
pone de presente en el ejemplo descrito abajo. Esta tabla se crea primero analizando cada requerimiento de la ley y
decidiendo si el requerimiento necesitaría Evidencia para demostrar el cumplimiento. Por ejemplo, la Ley de Protección
de Datos del Reino Unido tiene 219 provisiones, pero solo 31 necesitan evidencia para demostrar el cumplimiento legal.
Muchas provisiones de la ley no requieren evidencia, por ejemplo las definiciones y las provisiones que se encargan de
señalar las funciones de las autoridades. Una vez se identifican las reglas que requieren evidencia se incluyen en la Tabla
36
37
https://www.nymity.com/data-privacy-resources/privacy-management-tools/accountability-scorecard-template.aspx
https://www.nymity.com/data-privacy-resources/data-privacy-research/privacy-accountability-book.aspx
37
de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento y se alinean a las Actividades de Gestión de
Información que se encuentran en el proceso de gestión de datos que mejor logre demostrar el cumplimiento. Después,
la documentación usada para demostrar responsabilidad se alinea con las reglas legales que requieren evidencia. El
último paso es entonces que el Área de Protección de Datos provea comentarios contextualizados que expliquen por
qué la evidencia demuestra el cumplimiento.
Tabla de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento
El siguiente ejemplo ilustra cómo funciona la Tabla de Interoperabilidad de Responsabilidad Demostrada y
Cumplimiento para demostrar el cumplimiento con el Acuerdo de Puerto Seguro de EE.UU – UE. Esta misma
aproximación puede funcionar con cualquier ley, regulación, código o estándar. Para usar la tabla, simplemente mapee
la documentación identificada en el Cuaderno de Trabajo o en el Scorecard contra la Tabla de Interoperabilidad de
Responsabilidad Demostrada y Cumplimiento. Ambas tablas están estructuradas basadas en los 13 Procesos de Gestión
de Datos de forma que el proceso es más sencillo que si se optara por crear conjuntos racionalizados de reglas.
Por ejemplo, si la actividad Poner a disposición un aviso de privacidad en todos los puntos en los que se recolecte
información personal (PGD 8) se implementa, la evidencia podría incluir un aviso de privacidad, una minuta para páginas
web donde se requiera un link al aviso en todas las páginas donde se recolectan datos personales, una aplicación móvil
que incluya un aviso de privacidad o el texto de los formularios que se entregan a los titulares para ser completados por
estos. Toda esta evidencia se mapea contra el Proceso de Gestión de Datos No. 8 Mantener Avisos de Privacidad y puede
entonces ser usado para demostrar cumplimiento con el requisito de hacer disponible un aviso de privacidad que está
incluido como principio rector en el Acuerdo de Puerto Seguro. Probablemente la misma evidencia será usada para
demostrar cumplimiento con más de un requerimiento legal dentro de una Fuente legal, y dentro de varias fuentes
distintas.
Acuerdo de Puerto Seguro EE.UU – UE
21 de 23 Reglas requieren evidencia
1. Mantener una estructura de gobernanza
Ninguna regla dentro de este proceso requiere
evidencia
2 Mantener un inventario de datos personales
FAQ #6 – Auto- certificación
3 Mantener una política de protección de datos
personales
FAQ #1 – Datos sensibles
FAQ #4 – Banca de inversión y auditorías
4 Integrar la protección de datos en las operaciones
Integridad de los datos
5 Mantener un programa de capacitación y
concientización
Ninguna regla dentro de este proceso requiere
evidencia
6 Manejo de riesgos de seguridad de la información
Seguridad
7 Administración de riesgos con terceros
Transferencias
FAQ#10 – Contratos del Artículo 17
8 Mantener avisos de privacidad
Evidencia
Comentarios contextuales
N/A
N/A
38
Acuerdo de Puerto Seguro EE.UU – UE
21 de 23 Reglas requieren evidencia
Aviso
Consentimiento
FAQ#9 – Recursos humanos
FAQ#12 – Consentimiento – Momento para Opt Out
FAQ#13 – Información de viaje
FAQ#14 – Productos médicos y farmacéuticos
9 Mantener procedimientos para peticiones, quejas
y reclamos y ejercicio de derechos
Acceso
Acciones de enforcement
FAQ#8 – Acceso
FAQ#9 – Recursos humanos
FAQ#11 – Mecanismos de resolución de controversias
y enforcement
FAQ#14 - Productos médicos y farmacéuticos
10 Monitorear las nuevas prácticas operacionales
Ninguna regla dentro de este proceso requiere
evidencia
11 Mantener un programa efectivo de gestión de
incidentes y vulneraciones de datos
Ninguna regla dentro de este proceso requiere
evidencia
12 Monitoreo de prácticas de manejo de datos
Acciones de enforcement
FAQ#7 – Verificación
13 Seguimiento a criterios externos
Ninguna regla dentro de este proceso requiere
evidencia
Evidencia
Comentarios contextuales
N/A
N/A
N/A
Tabla 4: Ejemplos de Tabla de Interoperabilidad de Responsabilidad Demostrada y Cumplimiento
Beneficios adicionales de una demostración gráfica de la responsabilidad desde el punto de vista de la
gestión de datos personales
La Estrategia de Cumplimiento Legal y Responsabilidad Demostrada (Accountability) tiene muchas ventajas para la
gestión de la información personal en las organizaciones. Por ejemplo:
•
•
•
•
Ayuda a asegurar que las Actividades de Gestión de Información implementadas sean continuamente
mantenidas.
Tener una representación visual del Programa de Protección de Datos es una forma efectiva de comunicarle las
necesidades a la Alta Dirección y puede justificar una inversión de recursos adicionales inclusive si el individuo
no es un experto en protección de datos personales.
Tener un repositorio central de evidencias y de información acerca del Programa de Protección de Datos es útil
para gerenciar un equipo o una red dentro de la organización con responsabilidades en materia de protección
de datos.
La recolección de información y de evidencia es un mecanismo que facilita la asignación de responsabilidades a
las unidades de negocio pero que al mismo tiempo permite una comunicación fluida con el Área de Protección
de Datos. El hecho de que las áreas y unidades de negocio asuman responsabilidades y un compromiso con
39
•
alcanzar un estándar de responsabilidad demostrada es clave para desarrollar una verdadera cultura de
protección de datos a lo largo de toda la organización.
Reduce la carga operativa a las áreas y unidades de negocio. La forma sencilla de aproximarse a la recolección de
evidencia que utiliza el scorecard reduce de manera significativa el tiempo y la energía invertida por las unidades
operacionales para apoyar al Área de Protección de Datos, y por tanto es un buen motivador para participar.
Caso de negocio para obtener recursos en una Estrategia de Cumplimiento Legal y Responsabilidad
Demostrada
Los recursos requeridos para demostrar la responsabilidad como respuesta a un requerimiento de una APD son
relativamente bajos toda vez que la documentación ya existe como un subproducto de las Actividades de Gestión de
Información implementadas como parte de las estrategias gerenciadas y avanzadas. Sus beneficios incluyen:
1. Prepararse para una investigación administrativa mediante la recopilación de evidencia constante sobre el
estado del programa de protección de datos;
2. Cumplir con requerimientos futuros que impliquen probar la responsabilidad demostrada, por ejemplo el
artículo 22 de la propuesta de Reglamento de Protección de Datos de la UE o las disposiciones del Decreto 1377
de 2013 en Colombia;
3. Cumplir con el requerimiento de las BCR europeas de monitorear el cumplimiento de las reglas fijadas y tener
los resultados de ese monitoreo disponibles para las Autoridades de Protección de Datos quienes podrán
solicitarlo en cualquier momento;
4. Alcanzar los estándares fijados por las Autoridades de Protección de Datos, por ejemplo en guías sobre
responsabilidad demostrada como las publicadas por Canadá, Hong Kong, Francia, Australia, y Colombia 38 ;
5. Prepararse para una auto certificación bajo el marco del Acuerdo de Puerto Seguro de EE.UU – UE, o prepararse
para una auditoría externa;
6. Bajar los costos de las auditorías externas por medio de la recopilación anticipada de documentación e
información para presentar a los auditores:
7. Mantener documentación para los sellos de confianza y buenas prácticas (o de accountability agents en las
economías participantes del marco de protección de datos de APEC);
8. Alcanzar un elemento de competitividad diferenciador, por ejemplo para los proveedores de servicios
tercerizados que quieren demostrar ante sus clientes que cuentan con un estándar de responsabilidad
demostrada;
9. Proveer mecanismos de reporte para los distintos niveles en la compañía: resúmenes ejecutivos para la alta
dirección y reportes detallados para las áreas operativas y de control interno, y
10. Demostrar el liderazgo mediante la implementación de un programa de alto nivel.
D. Tres formas de empezar
Cuando estén seleccionando una estrategia de gestión de un Programa de Protección de Datos, no todos los Oficiales de
Protección de Datos tendrán claridad sobre cuáles actividades seleccionar para poner en práctica. A continuación, se
sugieren tres formas de priorizar las actividades con base en los recursos disponibles:
Las tres formas son las siguientes:
38
Ver sección 2 Fundamentos de la Responsabilidad Demostrada (Accountability)
40
o
o
o
Recursos Bajos– Política primero: Empiece con el desarrollo de una política de protección de datos que
cobije a toda la organización 39, entrene a los empleados sobre sus obligaciones definidas por dicha
política, comunique de manera efectiva las prácticas a los titulares de la información por medio de un
aviso de privacidad 40 y establezca mecanismos de reporte a la gerencia y a la alta dirección. Una
aproximación de Política-Primero encaja mejor en las organizaciones con pocos recursos disponibles.
Recursos medios – Gobernanza primero: Empiece con las actividades que involucran elementos de
gobierno corporativo, incluyendo la asignación formal de responsabilidades, procesos para interactuar
con los titulares y con los encargados del tratamiento y mecanismos de aprobación y vistos buenos que
involucren al Área de Protección de Datos. Una aproximación de Gobernanza-Primero encaja mejor en
las organizaciones que tienen recursos medios.
Recursos altos – Inventario primero: Empiece con las actividades que involucran más asignación de
recursos como los inventarios completos de datos personales en las organizaciones, y el diseño de
políticas y procedimientos que estén distribuidos en todas las áreas específicas de la organización,
evaluaciones de riesgo en protección de datos personales y PIA para el nuevo Programa de Protección
de Datos, sistemas y procesos. Esta aproximación es la más recomendada en la literatura y los
materiales de entrenamiento de protección de datos en la medida que no toma en cuenta las
limitaciones que pueden existir en cuanto a disponibilidad de recursos.
Estas tres formas de empezar se aplican a organizaciones de todos los tamaños y de todos los sectores e industria a
través de diferentes jurisdicciones.
La tabla siguiente resume tres maneras de seleccionar actividades para comenzar con una estrategia de protección de
datos. La descripción de las Actividades de Gestión de Información identificadas dentro de cada una se incluye en detalle
abajo.
Nótese que las actividades en gris denotan Actividades de Gestión de Información que ya fueron incluidas porque se adelantaron
como parte de las aproximaciones de Política-Primero o Gobernanza-Primero, y que también forman parte de la aproximación de
Inventario-Primero, toda vez que cada forma de empezar se basa sobre la aproximación anterior.
Política Primero
Recursos Bajos
Asignar responsabilidades por la
adecuada gestión de datos
personales en la alta dirección y
en la gerencia
Consultar al interior de la
organización con las partes
interesadas en protección de
datos
39
Gobernanza Primero
Recursos Medios
Inventario Primero
Recursos Altos
Asignar responsabilidades por la
adecuada gestión de datos personales
en la alta dirección y en la gerencia
Asignar responsabilidades por la
adecuada gestión de datos personales
en la alta dirección y en la gerencia
Consultar al interior de la
organización con las partes
interesadas en protección de datos
Consultar al interior de la organización
con las partes interesadas en
protección de datos
Reportar periódicamente sobre el
estado del programa de protección de
datos (ej. Asamblea de Accionistas,
Reportar periódicamente sobre el
estado del programa de protección de
datos (ej. Asamblea de Accionistas,
En algunas jurisdicciones es común referirse al aviso de protección de datos que se pone a disposición del público como una
política de protección de datos o política de privacidad; sin embargo, Nymity hace referencia a ella como un Aviso de Privacidad.
Cuando hacemos referencia a una política de protección de datos, se refiere al documento interno que guía a los empleados sobre el
tratamiento y la protección de la información personal en manos de la organización.
40
Un Aviso de Privacidad es un documento dirigido a los usuarios externos usado para comunicar a los titulares y a otras partes
interesadas elementos contenidos en la política de Protección de Datos de la organización.
41
Política Primero
Recursos Bajos
Reportar periódicamente sobre el
estado del programa de
protección de datos (ej.
Asamblea de Accionistas, Junta
Directiva, Consejo de
Administración)
Gobernanza Primero
Recursos Medios
Junta Directiva, Consejo de
Administración)
Junta Directiva, Consejo de
Administración)
Asignar responsabilidades en
materia de protección de datos a
través de toda la organización
Integrar la protección de datos en un
Código de Conducta
Mantener una política de
protección de datos personales
Integrar la protección de datos en
un Código de Conducta
Mantener un programa de
capacitación básico para todos
los empleados
Sostener comunicaciones
regulares entre las personas a
cargo y responsables de
protección de datos
Mantener un aviso de privacidad
que detalle las políticas de la
organización en el manejo de los
datos personales
Llevar a cabo autoevaluaciones
aplicadas por el Área de
Protección de Datos
Llevar a cabo investigaciones
continuas sobre cambios
regulatorios
Inventario Primero
Recursos Altos
Mantener una política de protección
de datos personales
Mantener procedimientos para
atender peticiones, quejas y
reclamos
Mantener un programa de
capacitación básico para todos los
empleados
Proporcionar educación
continuada y entrenamiento al
personal del Área de Protección
de Datos (ej. conferencias,
webinars, invitar conferencistas)
Integrar la protección de datos en
otros programas de capacitación,
tales como los entrenamientos de
recursos humanos, seguridad,
centro de llamadas (call center) o
ventas
Mantener requerimientos de
protección de datos personales
con terceros (proveedores,
encargados, afiliados)
Mantener un aviso de privacidad que
detalle las políticas de la organización
en el manejo de los datos personales
Mantener un procedimiento de
autorización o visto bueno que
involucre al Área de Protección
de Datos
Asignar responsabilidades en materia
de protección de datos a través de
toda la organización
Sostener comunicaciones regulares
entre las personas a cargo y
responsables de protección de datos
Realizar una Evaluación
Corporativa de Riesgo en materia
de protección de datos
Mantener una estrategia que
alinee las actividades con los
requisitos legales (ej. resolución de
conflictos, diferencias en
estándares, creación de conjuntos
de reglas racionalizadas)
Integrar la protección de datos en
las evaluaciones y reportes de
gestión de riesgos del negocio
Mantener un inventario de las
principales bases de datos (qué
datos personales son almacenados
y en dónde)
Mantener una política de protección
de datos personales
Mantener un programa de
capacitación básico para todos los
empleados
Proporcionar educación continuada y
entrenamiento al personal del Área de
Protección de Datos (ej. conferencias,
webinars, invitar conferencistas)
Integrar la protección de datos en
otros programas de capacitación, tales
como los entrenamientos de recursos
humanos, seguridad, centro de
llamadas (call center) o ventas
Mantener requerimientos de
protección de datos personales con
terceros (proveedores, encargados,
42
Política Primero
Recursos Bajos
Gobernanza Primero
Recursos Medios
Llevar a cabo autoevaluaciones
aplicadas por el Área de Protección de
Datos
Llevar a cabo investigaciones
continuas sobre cambios regulatorios
Inventario Primero
Recursos Altos
afiliados)
Llevar a cabo el análisis de debida
diligencia (due diligence) de las
prácticas sobre protección de
datos y seguridad de la
información de los potenciales
proveedores/encargados
Mantener un aviso de privacidad que
detalle las políticas de la organización
en el manejo de los datos personales
Mantener procedimientos para
atender peticiones, quejas y reclamos
Mantener procedimientos para dar
respuesta a solicitudes de acceso
Mantener un procedimiento de
autorización o visto bueno que
involucre al Área de Protección de
Datos
Llevar a cabo PIA para nuevos
programas, sistemas y procesos
Mantener un marco de Privacidad
por Diseño para todos los sistemas
y productos que se desarrollen
Mantener un protocolo documentado
de respuesta a incidentes/brechas de
datos personales
Llevar a cabo autoevaluaciones
aplicadas por el Área de Protección de
Datos
Llevar a cabo auditorías/análisis
del programa de protección de
datos fuera del Área de Protección
de Datos (ej. auditorías internas)
Llevar a cabo investigaciones continuas
sobre cambios regulatorios
Política Primero– Recursos bajos
Empiece con el desarrollo de una política de protección de datos que cobije a toda la organización, entrene a los
empleados sobre sus obligaciones definidas por dicha política, comunique de manera efectiva las prácticas a los titulares
43
de la información por medio de un aviso de privacidad y establezca mecanismos de reporte a la gerencia y a la alta
dirección.
Actividad de Gestión
de Información
Asignar
responsabilidades por
la adecuada gestión de
datos personales en la
alta dirección y en la
gerencia (PGD 1)
Consultar al interior de
la organización con las
partes interesadas en
protección de datos
(PGD 1)
Dueño(s)
Recursos para implementar /Mantener
Área de
Protección de
Datos
Altos para implementar / Altos para mantener
Área de
Protección de
Datos
Muchas veces denominado Oficial de Protección de Datos, el individuo al
que se le asigna responsabilidad por la protección de datos en la
organización debe estar en un nivel suficientemente senior para asegurar
que tenga el poder suficiente para llevar a cabo iniciativas de protección de
datos relevantes para la empresa.
Nombrar a un individuo con estas responsabilidades generalmente requiere
del apoyo (tanto político-organizacional como económico) de un gran
número de partes interesada claves (stakeholders). En algunas
organizaciones el Oficial de Protección de Datos será un rol de tiempo parcial
(a veces compartido con el área legal, de seguridad de la información o de
cumplimiento o control interno).
Bajos para implementar / Bajos para mantener
Consultar al interior de la organización con las partes interesadas
(stakeholders) debe incluir una comunicación en dos vías entre el Área de
Protección de Datos y las unidades de negocio y operativas. El Área de
Protección de Datos le informa a las partes interesadas sobre los nuevos
desarrollos y obtiene información sobre nuevas iniciativas que involucren el
uso de datos personales.
Esta actividad es importante y relativamente fácil de implementar, aunque sí
requiere de un Oficial de Protección de Datos proactivo para que esté
llamada a prosperar. Este es un buen ejemplo de una actividad que dejará de
ser efectiva si no se mantiene. Si se hace de manera correcta, ayudará a
asegurar que el Programa de Protección de Datos se implemente en la
práctica y ayudará a que se asignen recursos adicionales para expandir el
Programa de Protección de Datos. También le ayudará al Oficial de
Protección de Datos a estar al tanto de los cambios en el negocio que
impacten el Programa.
Reportar
periódicamente sobre
el estado del programa
de protección de datos
(ej. Asamblea de
Área de
Protección de
Datos
Generalmente, esta actividad está soportada por la actividad Mantener una
suscripción a un servicio de reporte de cumplimiento o a una actualización de
una firma de abogados para mantenerse informado sobre nuevos desarrollos
(PGD 13), toda vez que la naturaleza proactiva típicamente está sujeta a
nuevos desarrollos en las normas de protección de datos tales como nuevas
guías o decisiones de las Autoridades de Protección de Datos que sean
relevantes para la organización.
Bajos para implementar / Bajos para mantener
Los reportes regulares a las partes interesadas clave (stakeholders) son muy
importantes para mantener un Programa de Protección de Datos efectivo, y
44
Actividad de Gestión
de Información
Accionistas, Junta
Directiva, Consejo de
Administración) (PGD
1)
Mantener una política
de protección de datos
personales (PGD 3)
Dueño(s)
Recursos para implementar /Mantener
son el primer paso para justificar una inversión adicional. Puede hacerse por
un costo relativamente bajo el supuesto de que es una simple comunicación.
Los reportes pueden hacerse como resúmenes ejecutivos a la Junta Directiva
o a la Alta Dirección o pueden ser reportes detallados a la gerencia dentro
de las unidades de negocio.
Área de
Protección de
Datos
Generalmente esta actividad está soportada por la actividad Llevar a cabo
investigaciones continuas sobre cambios regulatorios (PGD 13) pues los
reportes muchas veces incluyen actualizaciones de las normas, eventos
significativos como incidentes de seguridad o proyectos importantes y
Mantener mediciones del programa de protección de datos (PGD 12) (si están
disponibles). El reporte puede ser entregado personalmente como un ítem
de la agenda en reuniones periódicas o distribuido a través del correo
electrónico.
Medios para implementar / Bajos para mantener
La política de protección de datos es un documento interno creado como
guía para el personal en la organización que realiza tratamientos de
información personal. La política formaliza la posición de la organización con
respecto a la protección de los datos personales. Es un primer paso muy
importante puesto que es un requisito previo para ser capaz de comunicar
las expectativas y ganarse el apoyo de los directivos.
Implementar una política de protección de datos requiere una cantidad de
pasos y puede ser considerado un esfuerzo mediano. El Área de Protección
de Datos puede optar por redactar la política desde ceros o empezar con un
modelo y ajustarlo de forma que refleje las necesidades únicas del negocio.
La política debe tomar en cuenta los requerimientos de ley así como el
ambiente de negocios. El Área de Protección de Datos debe entonces
socializar la política con las partes interesadas dentro de la organización,
asegurándose de que esta llegue a todas las áreas. Algunas organizaciones
también deben Obtener la aprobación de la política de protección de datos
por parte de la Alta Dirección (PGD 3). Después debe comunicarse al personal
para que estén al tanto de sus obligaciones bajo la política.
Mantener un programa
de capacitación básico
para todos los
empleados (PGD 5)
Área de
Protección de
Datos
Un mantenimiento permanente de la política requiere recursos
relativamente bajos. Muchas organizaciones simplemente la revisan cada
uno o dos años o en respuesta a eventos tales como un nuevo
requerimiento legal o una restructuración de la empresa.
Medios para implementar / Bajos para mantener
Una capacitación básica en protección de datos puede ser un recurso muy
efectivo para eliminar los riesgos asociados a la gestión de información
personal. Los empleados deben ser entrenados sobre conceptos básicos de
protección de datos, no sólo los principios y requerimientos, sino sobre
cómo aplicarlos en la práctica. Crear un entrenamiento en protección de
datos requiere de tiempo y habilidades de comunicación y herramientas,
45
Actividad de Gestión
de Información
Dueño(s)
Recursos para implementar /Mantener
pero no necesariamente tiene que ser excesivamente sofisticado para ser
efectivo.
Para las organizaciones más pequeñas, el Oficial de Protección de Datos
puede hacer las capacitaciones directamente y en las organizaciones más
grandes puede hacerse en línea.
Mantener un aviso de
privacidad que detalle
las políticas de la
organización en el
manejo de los datos
personales (PGD 8)
Área de
Protección de
Datos
Llevar a cabo
autoevaluaciones
aplicadas por el Área
de Protección de Datos
(PGD 12)
Área de
Protección de
Datos
Llevar a cabo
investigaciones
continuas sobre
cambios regulatorios
(PGD 13)
Área de
Protección de
Datos
Una capacitación efectiva de los empleados puede llevar tiempo y ser el
componente que más recursos demanda en una aproximación de Política –
Primero, pero es una manera probada de reducir el riesgo de la
organización.
Bajos para implementar /Bajos para mantener
El objetivo de un aviso de privacidad es informarles a los titulares qué
información se está recogiendo, cómo se trata y cuáles son sus derechos.
El foco más importante para el Área de Protección de Datos es que el aviso
sea preciso y fácil de entender, por ejemplo, evitando los términos legales
farragosos. Debe estar escrita en un nivel suficientemente alto para que los
pequeños cambios en los procesos de negocios no hagan necesarias las
actualizaciones constantes, pero suficientemente específica para informar
bien a los titulares. Desarrollar un Aviso de Privacidad requiere un
entendimiento de cómo la organización trata la información. Hay una serie
de modelos y ejemplos disponibles para ayudarle al Oficial de Protección de
Datos a empezar, pero es crítico que el aviso refleje de manera precisa los
procesos reales de la organización.
Medianos para implementar/ Medianos para mantener
La sección 3A describe el proceso para llevar a cabo y mantener una
autoevaluación. Gran parte de esta actividad puede ser hecha por el Área de
Protección de Datos, pero requiere participación de las partes interesadas en
las unidades operativas y de negocio. Como se mencionó arriba, los procesos
y sistemas que contienen datos personales probablemente no tienen como
dueño al Área de Protección de Datos y más bien son responsabilidad de
departamentos tales como Recursos Humanos, Marketing, TI, Servicio al
Cliente u otras unidades de negocio. Llevar a cabo la actividad por primera
vez muchas veces es intensivo en recursos pero los recursos requeridos para
mantenerla empiezan a disminuir en cuanto el Área de Protección de Datos y
las unidades de negocio se familiarizan con el proceso.
Medianos para implementar/Bajos para mantener
Como se describe arriba en más detalle, el proceso para adelantar
investigaciones permanentes sobre nuevos desarrollos legales puede
hacerse mediante una investigación informal o por medio de suscripciones a
motores de búsqueda o a boletines de firmas de abogados o de asociaciones
profesionales. La mayoría de las organizaciones que gestionan un programa
46
Actividad de Gestión
de Información
Dueño(s)
Recursos para implementar /Mantener
a través de múltiples jurisdicciones optan por Mantener una suscripción a un
servicio de reporte de cumplimiento o a una actualización de una firma de
abogados para mantenerse informado sobre nuevos desarrollos (PGD 13). El
proceso de identificar las leyes aplicables y entender las expectativas de las
Autoridades de Protección de Datos puede requerir muchos recursos en un
principio pero en la medida que el monitoreo sea constante, mantener la
actividad requerirá de menos recursos que los inicialmente invertidos.
Gobernanza Primero– Recursos medianos
Construido sobre la base de la aproximación de Política-Primero, la aproximación basada en gobernanza corporativa
incluye la asignación formal de responsabilidad, los procesos para interactuar con los titulares de la información y los
encargados del tratamiento así como entrenamiento de segundo nivel.
Actividad de Gestión
de Información
Asignar
responsabilidades en
materia de protección
de datos a través de
toda la organización
(PGD 1)
Dueño(s)
Recursos para implementar/Mantener
Área de
Protección de
Datos
Altos para implementar / Medios para mantener
Identificar a los individuos a través de toda la organización que tendrán
responsabilidades en protección de datos (a tiempo parcial o completo)
puede requerir muchos recursos para implementar. El rol debe definirse y
las unidades operativas deben estar de acuerdo en asignar recursos tales
como el tiempo de dichos individuos para que cumplan cabalmente con sus
obligaciones.
Una vez se ha establecido esa red interna, esta se mantiene y se introduce
la actividad Sostener comunicaciones regulares entre las personas a cargo y
responsables de protección de datos (PGD 1). El mantenimiento continuo de
la red requerirá de recursos medios para asegurar que esté comprometida y
activa a lo largo del tiempo.
Integrar la protección
de datos en un Código
de Conducta (PGD 1)
Área de
Protección de
Datos
Sostener
comunicaciones
regulares entre las
personas a cargo y
responsables de
protección de datos
Área de
Protección de
Datos
Bajos para implementar / Bajos para mantener
Integrar la protección de datos en el Código de Conducta de la organización
marca una pauta de alto nivel para todos los empleados y establece de
manera clara la posición de la organización con relación a la protección de
la información personal. Incluir dentro del Código una sección específica de
protección de datos asegurará que reciba más visibilidad y sea un tema que
reciba la importancia adecuada.
Bajos para implementar / Bajos para mantener
Muchas organizaciones desarrollan un “comité de protección de datos” que
se reúne de manera periódica y está integrado por los sujetos interesados
clave tales como los del área legal, de recursos humanos, archivo,
marketing, TI, etc. El propósito de las reuniones es estar revisando
47
Actividad de Gestión
de Información
(PGD 1)
Dueño(s)
Proporcionar educación
continuada y
entrenamiento al
personal del Área de
Protección de Datos
(PGD 5)
Área de
Protección de
Datos
Integrar la protección
de datos en otros
programas de
capacitación, tales
como los
entrenamientos de
recursos humanos,
seguridad, centro de
llamadas (call center) o
ventas (PGD 5)
Unidades
operativas
Mantener
requerimientos de
protección de datos
personales con terceros
(proveedores,
encargados, afiliados)
(PGD 7)
Unidades
operativas
Recursos para implementar/Mantener
regularmente las políticas así como otros proyectos o productos que tengan
implicaciones en protección de datos. La reunión también puede usarse
para asegurar que los entregables del Programa de Protección de Datos se
ejecuten cumplidamente y que las acciones permanentes se monitoreen y
reporten de manera correcta para asegurar el cumplimiento.
Bajos- medianos para implementar /Bajos –medios para mantener
Aunque puede sonar obvio, es importante destinar recursos para que el
personal del Área de Protección de Datos se mantenga actualizado en
conocimientos y mejores prácticas de la industria. Los costos asociados con
asistir a conferencias y seminarios pueden ser bajos o medios pero también
hay muchos recursos disponibles de manera gratuita.
Medios para implementar /Medios para mantener
Integrar la protección de datos en otros programas de capacitación tiene
dos beneficios importantes: (i) apalanca los recursos existentes y (ii)
permite hacer un mensaje a la medida basado en los roles del individuo. Si
el Área de Protección de Datos puede hablarle de forma directa a un grupo
tal como los nuevos asociados del departamento de recursos humanos,
ellos podrán responder preguntas específicamente relacionadas con el tipo
de tratamiento de datos que estarán haciendo y aprovechar el trabajo que
ya viene haciendo el departamento. Lo mismo sucede con el entrenamiento
en línea – si hay un módulo de protección de datos dentro del
entrenamiento para los empleados del call center se genera un mayor
impacto con menos inversión de recursos del Área de Protección de Datos.
Bajos para implementar / Medios para mantener
Una fuente típica de riesgo en protección de datos es el uso de encargados
o proveedores. Muchas leyes exigen la elaboración de contratos formales
entre las partes pero esto inclusive debería ser implementado aun cuando
no sea un requisito legal por cuanto permite una mejor comunicación de los
requerimientos y de las expectativas de la organización. Además, es un
instrumento que permite tomar acciones legales si se presenta un incidente
de seguridad o una violación a los términos contractuales.
Volviendo atrás a la definición original de responsabilidad demostrada
(mantener la responsabilidad incluso cuando se transfieren los datos) esta
es una de las actividades más importantes para la organización.
El Área de Protección de Datos debe entender el proceso existente para
contratar con terceros (bien sea a través del departamento contractual o
directamente desde las unidades de negocio) e integrar requerimientos de
protección de datos a esas relaciones tercerizadas. Hacerlo puede requerir
recursos bajos pero el mantenimiento consume recursos medios por cuanto
el Área de Protección de Datos tendrá que hacer un monitoreo y un
seguimiento a las posibles excepciones que se presenten.
48
Actividad de Gestión
de Información
Dueño(s)
Recursos para implementar/Mantener
Mantener un
procedimiento de
autorización o visto
bueno que involucre al
Área de Protección de
Datos (PGD 10)
Unidades
operativas
Medios para implementar / Bajos para mantener
Tener en cuenta la protección de datos personales cuando se desarrollan
nuevos sistemas y procesos, y cuando se hacen cambios en los existentes,
es un paso clave para mitigar el riesgo.
El Área de Protección de Datos debe educar a las partes interesadas en
estos proyectos (tanto en sistemas de TI como en procesos de negocio) para
identificar las áreas que puedan presentar riesgos de protección de datos, y
después contactar al Área de Protección de Datos para evaluar los riesgos y
recomendar formas para mitigarlo.
Inventario Primero – Recursos Altos
Construido sobre la base de las aproximaciones de Política – Primero y Gobernanza – Primero, la aproximación de
Inventario – Primero incluye un inventario de todos los datos personales, políticas y procedimientos que están
distribuidos por la organización. Esta aproximación normalmente es recomendada por la literatura y los textos
disponibles sobre protección de datos en la medida en que no tiene en cuenta las restricciones presupuestales y de
recursos.
Actividad de Gestión de
Información
Realizar una Evaluación
Corporativa de Riesgo en
materia de protección de
datos (PGD 1)
Dueño(s)
Recursos para implementar/ Mantener
Área de
Protección de
Datos
Altos para implementar / Medios para mantener
Realizar una evaluación corporativa de riesgo en material de protección de
datos personales, cuando se hace de manera correcta, es un ejercicio que
demanda muchos recursos. Requiere de coordinación entre el Área de
Protección de Datos y una cantidad de partes interesadas, incluyendo la
alta dirección, los gerentes de las unidades operativas y posiblemente
incluso a algunos terceros proveedores. Requiere además un conocimiento
de las leyes y regulaciones en todas las jurisdicciones relevantes, así como
las iniciativas de negocios actuales y planeadas en cada una de ellas.
Aunque es un proyecto que consume muchos recursos, una evaluación
corporativa de riesgo es una herramienta muy valiosa para el análisis y la
comunicación y le ayuda al Área de Protección de Datos a alinearse con
otras prioridades de la organización. La Evaluación de Riesgos debe ser
mantenida y actualizada por lo menos de manera anual para que refleje el
cambiante entorno corporativo de la organización.
Mantener una estrategia
que alinee las actividades
con los requisitos legales
(ej. resolución de
Área de
Protección de
Datos
Altos para implementar / Bajos para mantener
Para las organizaciones que operan en múltiples jurisdicciones, manejar el
cumplimiento de una variedad de requerimientos legales puede ser muy
49
Actividad de Gestión de
Información
conflictos, diferencias en
estándares, creación de
conjuntos de reglas
racionalizadas) (PGD 1)
Dueño(s)
Recursos para implementar/ Mantener
complejo. Muchas veces los requerimientos de las leyes de protección de
datos concuerdan entre sí pero a veces ocurren conflictos (por ejemplo
entre las normas de protección de datos y las regulaciones financieras).
El Área de Protección de Datos debe identificar todos los requerimientos
aplicables, mapearlos a las actividades determinadas y documentar las
razones que dieron origen a las decisiones adoptadas en los casos en que
se presentan conflictos. Muchas veces este ejercicio de mapeo se
denomina “reglas racionalizadas” y requiere de muchos recursos para
crearlas pero es relativamente bajo para mantener pues solo necesita ser
actualizado cuando la ley cambia o cuando las nuevas leyes empiezan a ser
aplicables (por ejemplo cuando la organización empieza una nueva área de
negocio o lleva a cabo un proceso de expansión).
Integrar la protección de
datos en las evaluaciones
y reportes de gestión de
riesgos del negocio (PGD
1)
Unidades
operativas
Medios para implementar / Altos para mantener
Aunque una Evaluación Corporativa de Riesgos es realizada por el Área de
Protección de Datos con insumos de otras partes interesadas, integrar la
protección de datos a otras evaluaciones de riesgos de las áreas de
negocios muchas veces es una actividad influenciada por el Área de
Protección de Datos pero de la cual no es dueño.
Esta actividad es aplicable cuando una actividad del negocio (como
marketing u otros procesos que dependan del uso de datos personales)
pueda ser impactada por cambios legislativos o cuando pueda resultar en
un no cumplimiento y en sanciones. Muchas veces, las evaluaciones de
riesgo en los negocios se enfocan en el impacto financiero y puede implicar
un gran esfuerzo incluir los riesgos de protección de datos en el lenguaje y
el formato usado para reportar los riesgos de negocio.
Mantener un inventario
de las principales bases
de datos (qué datos
personales son
almacenados y en dónde)
(PGD 2)
Unidades
operativas
Altos para implementar / Altos para mantener
Muchos textos y manuales de entrenamiento de protección de datos
enseñan que el primer paso para proteger la información personal es
conocer qué información se tiene y dónde está. En una organización
pequeña o nueva, esto puede ser relativamente sencillo, pero para la
mayoría de empresas es una tarea ardua.
Para muchas organizaciones con sistemas antiguos o para aquellas que han
evolucionado mucho a lo largo de los años, crear un inventario puede ser
un proyecto millonario que tome muchos años. Una vez se completa el
inventario, debe ser mantenido y actualizado con cada cambio que se haga
en la forma de recolección, almacenamiento o transferencia de
información. Muchas veces, las organizaciones que transfieren información
a través de las fronteras, eligen Mantener diagramas de flujo para flujos de
datos clave (ej. entre sistemas, entre procesos, entre países) (PGD 2), toda
50
Actividad de Gestión de
Información
Dueño(s)
Llevar a cabo el análisis
de debida diligencia (due
diligence) de las prácticas
sobre protección de
datos y seguridad de la
información de los
potenciales
proveedores/encargados
(PGD 7)
Unidades
operativas
Recursos para implementar/ Mantener
vez que esto es requerido por algunas legislaciones.
Altos para implementar / Altos para mantener
Debido a los múltiples y muy publicitados incidentes de seguridad que han
ocurrido por cuenta de terceros encargados, se ha dado gran importancia a
la necesidad de adelantar procesos de debida diligencia, no solo en
protección de datos sino también en otras disciplinas relacionadas. En la
sección anterior, resaltamos la importancia de tener contratos escritos con
cláusulas relacionadas con protección de datos personales y seguridad de
la información.
Esta actividad requiere muchos más recursos pues es necesario hacerle
seguimiento para revisar que se hayan implementado los controles.
Muchas organizaciones manejan este proceso mediante Mantener un
procedimiento de evaluación de riesgos sobre protección de datos en los
procesos con los proveedores (PGD 7) y enfocándose en aquellos
proveedores que generan mayor riesgo.
Mantener un marco de
Privacidad por Diseño
para todos los sistemas y
productos que se
desarrollen (PGD 10)
Unidades
operativas
/Área de
Protección de
Datos
Llevar a cabo PIA para
nuevos programas,
sistemas y procesos (PGD
10)
Unidades
Operativas
/Área de
Protección de
Datos
La decisión siempre debe ser adoptada por la gerencia, dado que implica
una relación contractual, pero el Área de Protección de Datos le ayuda a
entender el riesgo y si los controles implementados son apropiados. Para
que sea efectivo, esto no solo debe hacerse al inicio de la relación con el
proveedor. Por eso algunas organizaciones optan por Llevar a cabo análisis
de debida diligencia (due diligence) continuos sobre las prácticas de
protección de datos y seguridad de la información de
proveedores/encargados con base en un análisis de riesgos (PGD 7).
Altos para implementar / Altos para mantener
La Privacidad por Diseño implica crear controles para todos los sistemas y
productos desde el inicio o hacer un proceso de reingeniería para
incorporar los controles y herramientas de protección de datos. Esto
difiere de la actividad Llevar a cabo PIA para nuevos programas, sistemas y
procesos (PGD 10) porque involucra incorporar elementos de protección de
datos desde el proceso de diseño y desarrollo por oposición a una revisión
en ciertos puntos críticos a lo largo del proceso. Como tal, puede consumir
muchos recursos pues requiere que los ingenieros, gerentes de proyectos y
dueños de productos tengan conocimientos de protección de datos o que
un experto en protección de datos tenga mucha experiencia en desarrollo
de productos y del proceso de desarrollo.
Altos para implementar / Medios – altos para mantener
Las Evaluaciones de Impacto de Privacidad (PIA), tal y como se describen
en esta Actividad de Gestión de Información, se refieren a las evaluaciones
hechas sobre proyectos o iniciativas individuales (al contrario de las PIA
generales para toda la organización). En la medida en que son desplegadas
como resultado de las nuevas iniciativas en las unidades operativas y de
negocio (ej. nuevos sistemas, nuevas recolecciones de información) deben
51
Actividad de Gestión de
Información
Dueño(s)
Recursos para implementar/ Mantener
ser efectivamente integradas en los procesos de negocio existentes.
Llevar a cabo
auditorías/análisis del
programa de protección
de datos fuera del Área
de Protección de Datos
(ej. auditorías internas)
(PGD 12)
Unidades
operativas
Implementar un flujo de trabajo de un PIA requiere un alto nivel de
recursos del Área de Protección de Datos pues para motivar a las unidades
operativas a hacerlos en los momentos correctos deben Mantener guías y
formatos para las Evaluaciones de Impacto de Privacidad (PIA por sus siglas
en inglés) (PGD 10) y entrenar a los usuarios sobre cómo hacerlos. Una vez
el proceso se implementa, algunas PIA (si no todas) requerirán la revisión y
la retroalimentación del Área de Protección de Datos (más al principio y
después menos a medida que las unidades se vuelvan más sofisticadas en
la evaluación de los riesgos de protección de datos).
Altos para implementar / Altos para mantener
Para las organizaciones que requieren demostrarle la responsabilidad a sus
clientes (tales como los proveedores de servicios o las organizaciones cuyo
negocio principal es el procesamiento de información por cuenta de otro)
muchas veces es necesario obtener una confirmación de un tercero de que
se están implementando buenas prácticas de protección de datos
personales y seguridad de la información. Esto requiere llevar a cabo
evaluaciones de riesgo, pruebas de control, y reportes de manera anual o
semi-anual. Esto muchas veces resulta en un gasto alto para el Área de
Protección de Datos (encontrar documentos, contestar preguntas, revisar
los controles) así como la realización de auditorías externas que pueden
ser costosas o demoradas en el tiempo.
Apéndice I – Riesgos de Protección de Datos
Los Programas de Protección de Datos reducen los siguientes riesgos:
1. Riesgo de no cumplimiento
No cumplir con las leyes y regulaciones de protección de datos puede tener un impacto significativo para la
organización. Esto puede darse en la forma de una acción investigativa (ej. una multa, una inspección o una orden
impuesta por una Autoridad de Protección de Datos) contra la organización. En este caso, el impacto va más allá de las
multas pecuniarias y las restricciones en las actividades del negocio.
Las organizaciones pueden, incluso sin que exista un incidente de seguridad, una queja o una acción de la autoridad,
descubrir internamente un no cumplimiento, posiblemente a través de una auditoría o una investigación. Esto implicará
hacer cambios en las prácticas operativas o de negocio para prevenir futuras consecuencias de continuar operando sin
cumplir con la ley.
Un Programa de Protección de Datos diseñado e implementado para tomar en cuenta estas implicaciones de
cumplimiento puede mitigar este riesgo de manera efectiva.
2. Riego de una investigación
52
En muchas jurisdicciones, las Autoridades de Protección de Datos tienen la autoridad para investigar a una organización
con base en una serie de motivos incluyendo las quejas, reportes de prensa, tendencias de la industria u otros factores
que no están específicamente relacionados con el cumplimiento legal. Las Autoridades de Protección de Datos deben
interpretar y aplicar las leyes de protección de datos aun cuando no existan ítems específicos de cumplimiento legal, tal
como sucede cuando la ley no tiene una provisión especial sobre desarrollos tecnológicos.
Las acciones investigativas de las autoridades pueden llevar a una multa o sanción pecuniaria, pero también pueden
incluir artículos de prensa negativos u órdenes de bloqueo de una base de datos. Aun cuando no haya un resultado
medible de la investigación, la interacción con la autoridad requiere de recursos y preparación para poder atender
debidamente los requerimientos que ésta haga.
Finalmente, en algunas jurisdicciones, tener un programa efectivo de protección de datos puede implicar un tratamiento
más benigno de la autoridad como consecuencia de una investigación, siempre y cuando pueda demostrarse que ésta
tiene un Programa de Protección de Datos efectivo y que el caso particular en el que se detectó un incumplimiento no
obedece a un problema sistémico dentro de la empresa.
3. Riesgo de Incidentes de seguridad
El impacto de un incidente de seguridad puede moverse en un rango amplio de opciones como por ejemplo una
investigación interna que implique disponer de mucho tiempo interno, a notificaciones individuales a los afectados o a
daños reputacionales y la consecuente pérdida de negocios para la organización. Una serie de estudios hace referencia
al costo de los incidentes de seguridad: entre ellos vale la pena mencionar algunos ejemplos como “2014 Cost of Data
Breach Study” del Instituto Ponemon, “The True Cost of Data Breaches in the Payments Industry” del Smart Card Alliance
y el "2014 Information Security Breaches Survey” del Departamento del Reino Unido para los Negocios, la Innovación y el
Conocimiento.
Muchos aspectos de un Programa de Protección de Datos están directamente relacionados con la protección de la
información personal frente al uso, acceso o distribución no autorizados. Esto puede lograrse de manera directa
mediante la encriptación de los datos o de manera indirecta entrenando a los empleados responsables del manejo de
datos personales en la empresa.
4. Riesgo de daño al titular
El mal uso de los datos personales puede conllevar daños a los titulares entre los que se incluyen la pérdida de ingresos,
otros daños financieros, daño reputacional, discriminación entre otros.
Un Programa de Protección de Datos tiene en cuenta el riesgo de daños a los titulares respecto de todos estos aspectos.
Mantener una estructura de gobernanza es un componente clave para la gestión del riesgo en la medida que requiere
responsabilidad demostrada y la autoridad para tomar decisiones basadas en el posible futuro impacto a los titulares.
5. Riesgo reputacional
Para las organizaciones con negocios directos con los consumidores finales, las organizaciones del sector salud o
inclusive algunas organizaciones B2B, el conocimiento por parte de la opinión pública de un incidente de seguridad, de
una declaratoria de incumplimiento de la ley o una sanción o de la existencia de prácticas antiéticas de negocios puede
implicar un daño reputacional aun cuando sea difícil de cuantificar. Algunas personas avocan porque las buenas
53
prácticas en protección de datos benefician a la marca; lo único que parece claro, sin embargo, es que una mala práctica
sí tiene un impacto inmediato que afecta el buen nombre de la marca.
6. Riesgo de negocio
Cuando una organización trata datos personales como parte de su negocio principal, muchas veces esta circunstancia
implica un riesgo. Si la organización lleva a cabo ese tratamiento a nombre de sus clientes, existe una posibilidad alta de
que la falta de un Programa de Protección de Datos genere un incumplimiento de las obligaciones contractuales con sus
clientes. Las violaciones contractuales pueden llevar a la pérdida de un contrato o de negocios futuros.
Durante el proceso de debida diligencia previo a una fusión o una adquisición, las organizaciones se preocupan mucho
acerca de las prácticas de protección de datos personales de la compañía objetivo. Si la compañía adquirente tiene que
invertir mucho en nivelar el Programa de Protección de Datos a sus propios estándares, esto impactará el ejercicio de
valoración de la compañía.
La incapacidad de entender las leyes y regulaciones de protección de datos puede impactar de manera directa los
resultados operacionales. Por una parte, no abordar los asuntos complejos de protección de datos personales en
coyunturas críticas (como durante un procesos de M&A o en el desarrollo de un producto) puede impactar las ventas
y/o utilidades. Por otra parte, si la organización de manera equivocada interpreta los requisitos de protección de datos
de manera excesivamente estricta, puede restringir innecesariamente las prácticas de negocio. Esto puede generar
pérdidas de oportunidades de generación de ingresos y poner a la organización en una posición competitiva
desventajosa.
7. Riesgo de litigios
En Estados Unidos y Canadá, las cortes han admitido acciones colectivas y de grupo basadas en la violación de los
derechos de protección de datos de los titulares o por la falla de una empresa en cumplir con lo anunciado en el aviso de
privacidad. Un Programa de Protección de Datos efectivo puede mitigar el riesgo de litigios futuros si permite una
comunicación articulada entre el Área de Protección de Datos y las áreas de negocio para asegurar que el tratamiento
de la información recolectada es consistente con aquello que les fue informado a los titulares.
8. Riesgo ético
En algunos casos, la organización puede estar cumpliendo técnicamente con relación al tratamiento de datos
personales, aun sin ser ética. En muchas jurisdicciones con tradiciones y regulaciones de muchos años en protección de
datos personales, las leyes no se redactaron abordando los cambios tecnológicos recientes y en esa medida no lograron
anticiparse a esos cambios. Por eso, el riesgo ético es particularmente relevante en áreas nuevas tales como
computación en la nube, big data y la internet de las cosas.
La implementación de la responsabilidad demostrada en el Programa de Protección de Datos está basada en la
responsabilidad de hacer las cosas bien, inclusive sin que exista una ley que permita o restrinja la actividad.
9. Riesgo personal
Las carreras profesionales del CEO, la alta dirección e incluso del Oficial de Protección de Datos pueden verse
impactadas por un no cumplimiento, un incidente de seguridad o la ausencia de un Programa de Protección de Datos.
54
La alta dirección de la compañía es responsable por la protección de sus activos (información) y sus clientes (titulares).
Como consecuencia de algunos incidentes de seguridad muy publicitados, muchos Vicepresidentes de Tecnología o
incluso presidentes de compañías han perdido su puesto. Muchas legislaciones, como sucede por ejemplo en Canadá o
en Colombia, contemplan la posibilidad de imponer sanciones de carácter personal.
Un Programa de Protección de Datos con una estructura adecuada de gobernanza, y un monitoreo efectivo, puede tener
un gran impacto en la reducción del riesgo personal.
55
Descargar