Ir al contenido principal

Inventario de datos personales

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • TSC: Privacidad: P3.1, P4.2, P5.2, P6.1, P6.2 y P6.7

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayudará a llevar un adecuado registro de los datos personales que recaba tu empresa (a menudo llamado "Mapa de Datos" o "Registro de Actividades de Tratamiento").

Debes incluir toda la información importante sobre su almacenamiento, acceso, y las transferencias y divulgaciones que realices, para asegurar que estén protegidos y que el tratamiento cumpla con los criterios del TSC de Privacidad de SOC 2.

¿Qué tengo que hacer? 🚀

A continuación, te compartimos todos los puntos que debes considerar para lograr esta actividad, siguiendo la estructura de nuestro template.

📑 ¿Qué información debo obtener para generar el inventario?

  • Tratamiento (proceso): Analiza los procesos donde se utilizan los datos personales. Por ejemplo: Proceso de soporte al cliente, proceso de facturación.

  • Responsable: Identifica las áreas o personas responsables de ejecutar dichos procesos.

  • Datos personales recabados: Enlista los datos específicos que se recaban. Por ejemplo: Nombre completo, correo electrónico, dirección IP.

  • Categoría de los datos: Clasifica los datos para aplicar los controles correctos. Por ejemplo: Generales (identificación, contacto) o Sensibles (datos de salud, biométricos).

  • Método de obtención: Indica cómo se obtuvieron los datos. Por ejemplo: A través de la página web, por correo electrónico, vía API.

  • Finalidad del uso: Describe para qué se utilizan los datos. Esta finalidad debe ser específica y legítima. Por ejemplo: "Para proveer un servicio de soporte personalizado".

  • Tipo de consentimiento: Indica cómo el titular dio su permiso (expreso, por escrito, implícito).

  • Tiempo de retención: Define el período de tiempo durante el cual se conservarán los datos.

📑 ¿Qué información debo documentar sobre el almacenamiento?

  • Adicional al tiempo de retención, es vital identificar todas las ubicaciones donde se almacenan los datos personales (bases de datos, servicios en la nube, medios físicos). Conocer estas ubicaciones es un requisito para poder mantener la exactitud de los datos (P4.2) y para aplicar los controles de seguridad necesarios para protegerlos (P6.2).

📑 ¿Qué información debo documentar sobre el acceso?

  • Para cumplir con los criterios de restricción de acceso, necesitas identificar y registrar a todas las personas o roles que pueden acceder a los datos personales y la finalidad de dicho acceso. Por ejemplo: "El equipo de soporte tiene acceso a los datos de los tickets para resolver las consultas de los clientes".

📑 ¿Qué información debo documentar sobre las transferencias?

  • Si transfieres datos personales a terceros, es muy importante indicar:

    • El tipo de consentimiento que obtuviste para realizar la transferencia.

    • La finalidad de la transferencia.

    • Los terceros involucrados a los que se les transfirió la información.

📑 Registro de movimientos (Transferencias y Divulgaciones)

  • Para un seguimiento completo, te recomendamos mantener un registro de las transferencias y divulgaciones autorizadas de datos personales, incluyendo: el tipo de movimiento, la fecha, los datos involucrados, el tercero y la justificación.

Nuestro template está estructurado para dar cumplimiento, pero recuerda que debes ajustarlo al contexto y necesidades de tu empresa 💪🏼.

💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Revisa este documento periódicamente para mantenerlo siempre actualizado con tus operaciones.

  • Asigna a responsables capacitados y concientizados para dar el tratamiento a los datos personales.

  • Analiza bien las solicitudes de acceso y transferencia, y asegúrate de que siempre cuenten con una justificación adecuada.

  • Revisa cuáles son los requisitos de las regulaciones y leyes locales sobre la retención de datos para asegurar que tu empresa está en cumplimiento.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
Procedimiento de Tratamiento de Datos Personales
Política de Privacidad y Tratamiento de Datos Personales
Inventario de datos personales
Política de Privacidad y Tratamiento de Datos Personales
Procedimiento de Tratamiento de Datos Personales
¿Ha quedado contestada tu pregunta?