👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
TSC: Privacidad: P3.1, P4.1, P4.2, P4.3
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer un procedimiento adecuado sobre cómo darás el tratamiento a los datos personales en el día a día, para cumplir con las obligaciones que tiene la empresa ante los titulares que te los otorgan y con los criterios del TSC de Privacidad de SOC 2.
💡 Este procedimiento debe estar alineado a tus operaciones reales, pero sin dejar de considerar la implementación de medidas de seguridad adicionales que te ayuden a tener un proceso eficiente y en cumplimiento.
¿Qué tengo que hacer? 🚀
Para documentar tu procedimiento, debes definir las actividades relacionadas al tratamiento de datos personales. Para ello, te recomendamos considerar los siguientes pasos:
Obtención del consentimiento
El titular de datos personales debe proporcionar su consentimiento sobre el tratamiento que le darás a su información. Para ello, debe estar enterado de cuáles son las finalidades del uso de sus datos y contar con un medio para contactarte. Esta información se comunica a través del “Aviso de Privacidad”. El procedimiento debe asegurar que no se traten datos sin haber obtenido previamente el consentimiento adecuado.
Recabación de los datos personales
En el “Aviso de Privacidad” también se deben indicar cuáles serán los datos personales que la empresa va a solicitar. Este procedimiento debe reforzar la regla de que, al momento de la recabación, solo se deben solicitar aquellos datos indicados en dicho aviso y que son estrictamente necesarios para la finalidad declarada. Esto cumple con el principio de limitación de la finalidad (P4.1).
Almacenamiento y conservación de los datos personales
La organización debe definir cómo va a proteger los datos personales que conserva. El procedimiento debe especificar:
Los sistemas de almacenamiento utilizados y sus ubicaciones.
Las medidas de seguridad pertinentes, como el cifrado y un control de accesos adecuado donde solo las personas autorizadas puedan verlos. Estos son los procesos autorizados que exige el criterio P4.3 para prevenir modificaciones no autorizadas.
Las acciones para mantener la exactitud de los datos (P4.2), como validaciones periódicas o al momento de la entrada.
Transferencia de datos personales
Si la organización tiene la necesidad de transferir datos personales, se debe establecer cómo se llevarán a cabo estos intercambios de información de manera que se preserve su confidencialidad en todo momento. Recuerda que el titular debe ser notificado de estas posibles transferencias en el “Aviso de Privacidad”.
💡 Si no realizas transferencias de datos personales, puedes eliminar este paso (si utilizas nuestro template), o simplemente omitirlo en tu procedimiento.
Divulgación de datos personales
La necesidad de divulgar datos personales puede provenir de solicitudes de autoridades. El procedimiento debe establecer que, en la medida que la ley lo permita, la empresa debe notificar al titular que se ha recibido una solicitud de divulgación que involucra sus datos.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Añade todos los pasos y medidas de seguridad que consideres necesarios para garantizar la confidencialidad y protección de los datos personales.
Revisa este documento periódicamente y aplica cualquier cambio que pueda aportar valor para mantenerlo siempre alineado con las mejores prácticas y las regulaciones aplicables.
Alinea este procedimiento con lo definido en tu “Procedimiento de Acceso, Corrección y Borrado de Datos Personales”.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.