El mes pasado introdujimos la norma ISO/IEC 27701, que proclama las medidas necesarias para la implementación de un “Sistema de Gestión de Información de Privacidad (PIMS)” que proteja adecuadamente los datos personales tratados por la empresa certificada.
De especial interés es la “Guía adicional para Responsables de Tratamiento”, que recoge aquellos procedimientos necesarios para asegurar un tratamiento legítimo y acorde a la normativa, con una clara orientación al cumplimiento del RGPD.
Las obligaciones impuestas se dividen en 5 bloques, que cubren totalmente el ciclo de vida del tratamiento de los datos personales: condiciones para la recogida y tratamiento; obligaciones hacia los interesados; privacidad desde el diseño y por defecto; y transferencia e intercambio de datos.
Condiciones para la recogida y tratamiento
Se trata de establecer un sistema de recogida y tratamiento de los datos que asegure la licitud de los mismos. Para ello, se debe redactar un procedimiento:
- Identificar aquellos datos que vayan a ser tratados,
- Asignarles una base legitimadora,
- La finalidad para la que será necesario su procesamiento.
Cuando se procede a recoger los datos, se debe comprobar que todas las condiciones documentadas son cumplidas, evitando así cualquier posible infracción. En algunos casos, será necesario obtener el consentimiento, por lo que también se deberá contar con un procedimiento que regule cuándo y cómo se debe obtener y registrar.
Aquellos casos en que el tratamiento de sus datos pueda conllevar algún riesgo para la privacidad, un correcto proceso de evaluación de impacto debe ser llevado a cabo. Asimismo, en los contratos con encargados o corresponsables de tratamiento se deberá garantizar que los datos que se vean afectados sean objeto de las mismas medidas de seguridad.
Por último, se deberá mantener un actualizado Registro de Actividades de Tratamiento.
Obligaciones hacia los interesados
Se deberá contar con un procedimiento en el que se plasmen las obligaciones que se tengan hacia los interesados, la información que se les debe facilitar y cómo y cuándo se hará.
A su vez, un mecanismo mediante el cual los interesados puedan ejercer sus derechos, que incluya la posibilidad de modificar o retirar el consentimiento; la posibilidad de retirar el consentimiento; la posibilidad de ejercer el acceso, la rectificación y/o la supresión de sus datos personales; y cómo se gestionarán las solicitudes presentadas.
También se deberán identificar y notificar sobre las comunicaciones a terceros y la toma de decisiones automatizadas.
Privacidad desde el diseño y por defecto
La privacidad desde el diseño y por defecto son principios fundamentales en la protección de datos y la seguridad de la información. La privacidad desde el diseño implica integrar consideraciones de privacidad en todas las etapas de desarrollo de un sistema o producto, mientras que la privacidad por defecto implica configurar los sistemas y productos con la máxima protección de privacidad como configuración predeterminada para los usuarios. Ambos enfoques son cruciales para garantizar que la privacidad y la seguridad de los datos estén integradas desde el inicio de cualquier proyecto, lo que ayuda a prevenir problemas de privacidad en el futuro y a demostrar un compromiso sólido con la protección de la privacidad de los individuos. Al adoptar estos enfoques, las organizaciones pueden cumplir mejor con las regulaciones de privacidad, aumentar la confianza de los clientes y mejorar su reputación en el mercado.
Duración del ciclo de vida de los datos
Desde el momento en que se plantee el tratamiento de datos personales, se deberá asegurar que los sistemas traten únicamente los datos necesarios para la finalidad determinada anteriormente durante su completo ciclo de vida. Esto implica que se deberá limitar tanto la recogida como el tratamiento de los datos, que deberán ser exactos y de calidad.
El plazo de conservación deberá ser documentado y, una vez finalizado, un adecuado procedimiento de anonimización y eliminación será necesario, así como de los archivos temporales que se hubieran podido generar.
Transferencias e intercambio de datos
Los datos recogidos deberán ser únicamente conocidos por el responsable de tratamiento. En algunas ocasiones su comunicación o transferencia serán necesarias, ya sean derivadas de sus actividades comerciales como de una obligación legal. Para estos casos, un adecuado procedimiento deberá ser documentado, donde se identifiquen las bases legitimadoras y los países u organizaciones a los que es probable la realización de una transferencia.
De igual manera, se deberá mantener un registro apropiado tanto de las transferencias como de las comunicaciones a terceros que se hayan realizado.
Desde Key Auditors, como auditores independientes certificados por ENAC, contamos diferentes servicios de auditoría. Entre los que se encuentra la verificación de las exigencias para la:
- implantación,
- mantenimiento
- mejora continua
del Sistema de Gestión de Información de Privacidad (PIMS).
Martin Valle Cordero, Departamento de privacidad.
- Auditoría del Sistema de Gestión de la Información de Privacidad (SGIP)
- ¿Cómo verificamos el cumplimiento del Esquema Nacional de Seguridad?
- ¿Cómo evitar brechas de seguridad gracias a la auditoría de privacidad?
- Brechas de seguridad, una amenaza para la privacidad
- Auditorías de Protección de Datos (2024): Un Análisis Exhaustivo
- El Experto Externo en Prevención del Blanqueo de Capitales: