Paso 1: Evaluación inicial de riesgo y requisitos normativos.
En primer lugar, se realiza una evaluación de los riesgos relacionados con la privacidad de la información. ¿Esto que implica? Supone identificar las amenazas y vulnerabilidades que podrían afectar la confidencialidad, integridad y disponibilidad de los datos personales.
Durante esta evaluación, se analizan diferentes aspectos, como la recopilación, el almacenamiento, el procesamiento y la transferencia de datos personales. Se evalúan los posibles impactos y se determina la probabilidad de que ocurran incidentes de privacidad.
Además, se realiza una revisión exhaustiva de los requisitos normativos aplicables. La ISO 27701 proporciona una guía para establecer, implementar, mantener y mejorar un sistema de gestión de la privacidad de la información.
Durante la auditoría se verifica si la organización ha identificado los requisitos normativos relevantes y ha establecidos los controles adecuados para cumplir con ellos. En este sentido, se identifican las brechas o áreas en las que la organización no cumple completamente con los requisitos. Estas brechas pueden ser falta de controles adecuados, incumplimiento de políticas y procedimientos, o cualquier otro incumplimiento normativo.
Paso 2: Diseño y desarrollo de controles de privacidad.
Este paso consiste en evaluar si la organización ha implementado controles de privacidad adecuados en su SGPI de acuerdo con los requisitos establecidos en la norma y conforme con la evaluación inicial.
Estos controles deben ser proporcionados y efectivos para garantizar el cumplimiento normativo y la protección de los datos personales. Pero ¿qué deben incluir estos controles? Deben incluir políticas, procedimientos, prácticas y medidas técnicas o administrativas para que el tratamiento de los datos personales cuente con mecanismos de protección adecuados, como el acceso restringido, el cifrado de datos, la retención adecuada, la eliminación segura, entre otros.
Adicionalmente, se debe revisar la documentación pertinente, como las políticas y procedimientos de privacidad, y evaluar su coherencia, adecuación y aplicabilidad en el contexto de la organización. Se examinan aspectos como la definición de roles y responsabilidades en relación con la privacidad de la información, la capacitación del personal, la gestión de los consentimientos y autorizaciones, la gestión de incidentes de privacidad, la evaluación y selección de proveedores externos, y cualquier otro aspecto relacionado con la protección de datos personales.
Paso 3: Implementación y seguimiento de controles.
En esta fase, se verifica si la organización ha implementado los controles de privacidad definidos en su SGPI y la efectividad de los controles, lo que implica revisar registros y evidencias en general que permitan determinar si los controles están siendo aplicados de manera efectiva y si están logrando los resultados esperados en términos de protección de la privacidad de la información.
Esto supone revisar si se han llevado a cabo las acciones necesarias para aplicar los controles en la práctica y si se han asignado los recursos adecuados para su implementación.
Se evalúa si los controles son operativos y si se siguen los procedimientos y prácticas establecidos. También se verifica si se han realizado ajustes o adaptaciones para satisfacer las necesidades específicas de la organización en cuanto a la privacidad de la información.
Hay que llevar a cabo, en este sentido, un monitoreo y seguimiento de controles, i se recopilan registros y evidencias relevantes para demostrar el funcionamiento continuo de los controles de privacidad. Se evalúa la efectividad de los mecanismos de monitoreo utilizados, como revisiones periódicas, auditorías internas, revisiones de desempeño y otros indicadores clave. También se verifica si se han establecido y cumplen los plazos establecidos para el seguimiento y revisión de los controles.
Paso 4: Revisión y mejora de los procesos de privacidad.
En esta fase, finalmente, se evalúa si la organización realiza revisiones periódicas, evalúa el desempeño de los procesos de privacidad, identifica oportunidades de mejora y realiza las acciones necesarias para implementar esas mejoras.
Concretamente, se verifica si la organización lleva a cabo revisiones periódicas de sus procesos de privacidad. Durante la revisión de procesos, se examinan los procedimientos documentados, las políticas y las prácticas establecidas en el SGPI, así como si se han mantenido al día con los cambios normativos y las necesidades de la organización.
Adicionalmente, se revisan, entre otras cosas, los indicadores clave de rendimiento (KPIs) y otros datos relevantes para medir el desempeño de los procesos y su contribución a la protección de la privacidad de la información; si están generando los resultados esperados en términos de cumplimiento normativo y mitigación de riesgos. Además, se puede recopilar información y opiniones de los usuarios y partes interesadas relevantes para evaluar la eficacia y la percepción de los procesos.