👉Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Seguridad (Common Criteria): Principio 14 del Marco COSO.
TSC: Privacidad: P2.1, P3.1, P3.2, P4.1 y P7.1.
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para establecer las directrices con las que tu organización se basará para proteger los datos personales que recaba y procesa. Su objetivo es formalizar tu compromiso con la privacidad, minimizar los riesgos de daño, pérdida o acceso no autorizado a datos personales, y asegurar la transparencia con tus clientes y usuarios.
¿Qué tengo que hacer? 🚀
Para crear esta política, te recomendamos comenzar leyendo este artículo y el template que te proporcionamos. El objetivo es documentar los principios y reglas que tu organización sigue para el tratamiento de datos personales, alineándolos con los criterios de SOC 2.
A continuación, te enlistamos los temas clave que tu política debe abordar:
Finalidad y limitación de la recolección
La política debe establecer claramente que la organización solo recolecta datos personales para propósitos específicos, legítimos y explícitos. Es fundamental documentar estas finalidades.
Acción: Define y documenta en tu política los propósitos para los cuales se tratan los datos personales de cada tipo de titular (por ejemplo, para prestar el servicio a los clientes, para el proceso de reclutamiento de postulantes, etc.). Esto demuestra el cumplimiento del principio de limitación de la finalidad.
Notificación y consentimiento
Esta es una de las partes más importantes de tu programa de privacidad. La política debe establecer el compromiso de la organización con la transparencia hacia los titulares de los datos.
Acción: La política debe hacer obligatorio el uso y la publicación de un “Aviso de Privacidad” claro y accesible, que informe a los individuos sobre qué datos se recolectan, para qué se usan y con quién se comparten.
Acción: Se debe establecer el requisito de obtener y gestionar el consentimiento de los titulares antes de recabar sus datos, definiendo cuándo este debe ser explícito (por ejemplo, para fines de marketing) o puede ser implícito (por ejemplo, para prestar un servicio solicitado).
Derechos de los titulares de los datos
El criterio exige que los individuos tengan control sobre su información. La política debe establecer los lineamientos para que la empresa garantice y facilite el ejercicio de estos derechos.
Acción: Define en tu política el compromiso de atender las solicitudes de los titulares para Acceder, Rectificar o Eliminar su información personal. El proceso detallado de cómo gestionar estas solicitudes se documentará en tu “Procedimiento de Acceso, Corrección y Borrado de Datos Personales”.
Principios fundamentales del tratamiento
Adicionalmente, la política debe reflejar los principios generales que sustentan tu programa de privacidad, como la minimización de datos (recolectar solo lo necesario), la exactitud y la limitación del período de conservación.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Verifica que lo estipulado en esta política esté alineado a los requisitos regulatorios que le apliquen al país o región donde opera tu empresa ( GDPR en Europa, CCPA en California, etc.).
Comunica esta política a todos los colaboradores que manejen datos personales para garantizar que comprenden sus responsabilidades.
Sé transparente con la información que le brindas al titular de los datos. Es esencial que tu “Aviso de Privacidad” sea claro, completo y fácil de encontrar y entender.
Alinea los lineamientos de esta política con tus procedimientos operativos, como el “Procedimiento de Tratamiento de Datos Personales” y el “Procedimiento de Atención a Dudas y Quejas”, para asegurar que lo que dices en la política se cumple en la práctica.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.