👉 Esta actividad te ayuda a cumplir los siguientes controles:
Controles específicos de ISO 27701: 7.2.8
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a llevar un adecuado registro de los datos personales que recaba tu empresa, con toda la información que es importante conocer sobre su almacenamiento, acceso, y las transferencias y divulgaciones que realices con ellos, para asegurar que estén protegidos en todo momento.
¿Qué tengo que hacer? 🚀
A continuación, te compartimos todos los puntos que debes considerar para lograr esta actividad.
📑 ¿Qué información debo obtener para generar el inventario de datos personales?
Tratamiento (proceso): Analiza los procesos donde los datos personales recabados son necesarios para su ejecución. Esto equivale al tratamiento que le das a dichos datos.
Por ejemplo, un proceso de soporte y atención al cliente requiere por lo menos de un nombre y correo organizacional para poder brindar el servicio.
Responsable: Identifica las áreas o personas responsables de ejecutar y/o supervisar los procesos / tratamientos establecidos previamente en el punto anterior.
Por ejemplo, área de Tecnología, área de Recursos Humanos, Gerente de Desarrollo, etcétera.
Datos personales recabados: Debes enlistar los datos personales que se recaban para el proceso / tratamiento correspondiente.
Por ejemplo, nombre completo de la persona, edad, correo electrónico, teléfono, puesto dentro de la empresa, dirección, etcétera.
Categoría (de los datos personales): Para poder aplicar los controles de seguridad pertinentes, es importante conocer a qué categoría pertenecen los datos personales.
Por ejemplo, generales son aquellos datos de identificación, de contacto, laborales, etcétera. Y los sensibles son aquellos datos sobre las ideologías, opiniones políticas, historial médico, etcétera.
💡 Para más información, te recomendamos leer nuestro artículo de FAQs sobre el Aviso de Privacidad, ya que ahí encontrarás más detalle y ejemplos sobre datos sensibles y generales.
Método de obtención: Debes indicar cómo se obtuvieron los datos personales para identificar las medidas de seguridad más adecuadas a implementar para protegerlos.
Puede ser por ejemplo a través de la página web de la empresa, por correo electrónico, por un formulario, por videollamada, por un medio físico, etcétera.
Finalidad del uso (de los datos personales): Con base en el tratamiento y los procesos para los cuáles recabaste los datos personales, analiza qué es lo que deseas lograr al utilizar dicha información.
Por ejemplo, para nuestro proceso de soporte y atención al cliente, la finalidad del uso de datos personales es poder brindar un servicio mucho más personalizado y orientado a las necesidades específicas de dicho cliente.
Tipo de consentimiento para el uso de los datos personales: Se refiere a la manera en la que el titular de datos personales te está dando el permiso para utilizar sus información. Con base en los métodos de obtención que identificaste previamente, puedes identificar también el tipo de consentimiento aplicable.
Por ejemplo, existe el consentimiento expreso, el cual corresponde a cuando el titular manifiesta verbalmente que está de acuerdo con el uso de sus datos personales.
Existe también el consentimiento por escrito, el cual utiliza medios digitales, medios físicos o cualquier otra tecnología que deja “registro” de la aceptación del titular para el uso de su información.
Y también está el consentimiento implícito, el cual debe ser manejado con mucho cuidado ya que esto ocurre cuando las acciones del titular son las que implican y/o expresan que está de acuerdo con el uso de su información.
Tiempo de retención: Esto corresponde básicamente al período de tiempo por el cual vas a mantener los datos personales, incluso cuando ya no les das un tratamiento como tal, pero los almacenas para mantener el cumplimiento de los requisitos normativos y legales.
📑 ¿Qué información debo documentar sobre el almacenamiento de datos personales?
Adicional al tiempo de retención que previamente mencionamos, es importante identificar todos los sistemas, bases de datos, medios físicos (si cuentas con ellos) o cualquier otro tipo de ubicación de almacenamiento donde tengas datos personales.
💡 Esto toma real importancia a la hora de tener que realizar las acciones pertinentes para ejercer los derechos de los titulares, como por ejemplo dar acceso a ellos, corregirlos si es necesario, eliminarlos de todas las ubicaciones asociadas cuando se solicite para cumplir los requisitos normativos y legales, entre otras cosas.
Además, a nivel de seguridad de la información, el identificar todas estas ubicaciones te permitirá implementar los controles pertinentes para garantizar la protección de los datos personales almacenados.
📑 ¿Qué información debo documentar sobre el acceso a los datos personales?
Para llevar un adecuado control sobre los datos personales es necesario identificar y registrar todas las personas que pueden acceder a ellos.
Dentro de nuestro template te sugerimos colocar el puesto de las personas asociadas, pero puedes también colocar su nombre. Considera que además de los colaboradores, y dependiendo del contexto y necesidades de tu empresa, alguna parte externa podría tener acceso a los datos personales, y también debería registrarse.
Todas las personas previamente identificadas deben tener una finalidad de acceso. Es decir, una justificación que sustente que necesita de dicho acceso para un motivo en particular.
Por ejemplo, la finalidad de acceso de la mayoría de los colaboradores debería estar relacionado al cumplimiento de sus funciones laborales.
📑 ¿Qué información debo documentar sobre las transferencias de datos personales?
Si por motivos de negocio o necesidades de alguna otra índole, llevas a cabo una o más transferencias de datos personales, es muy importante indicar cuál fue el tipo de consentimiento que obtuviste del titular para realizarlas.
Recuerda que el consentimiento puede ser expreso, por escrito o implícito.
También debes indicar la finalidad de la transferencia, es decir, la justificación o necesidad que sustente que requieres transferir dichos datos personales, y los externos asociados a los que les transferiste la información, colocando su nombre o razón social correspondientes.
Recuerda que estas finalidades de transferencia deben ser informadas al titular por medio del aviso de privacidad.
💡 Si no realizas transferencias de datos personales, puedes eliminar esas columnas dentro de nuestro template.
Ahora bien, una vez que ya conoces cuáles son los tratamientos que le das a los datos personales, dónde se encuentran, cuál es la finalidad de uso, etcétera, es importante que lleves un adecuado seguimiento a los movimientos y acciones que se realizan sobre ellos para asegurar su protección en todo momento.
En caso de que realices transferencias, o incluso hayas realizado divulgaciones autorizadas de datos personales, dentro de nuestro template encontrarás la sección de “Registro”, la cual te solicita la siguiente información:
Tipo de movimiento: Estos pueden ser; transferencia a terceros, si tu empresa es la que comparte los datos personales. Transferencia de terceros, si tu empresa está recibiendo los datos personales de una fuente externa, o si fue una divulgación de los mismos.
💡 Una divulgación autorizada sólo podría darse por solicitud de entidades regulatorias, gubernamentales, autoridades u otro organismo que requiera la información para realizar investigaciones u otro ejercicio legal.
Fecha del movimiento: Ingresa la fecha en la que se realizó la transferencia o divulgación.
Datos personales involucrados: Enlista los datos personales que fueron transferidos o divulgados en dicho movimiento.
Tercero involucrado: Corresponde a esa parte externa de quién recibiste la transferencia, o a quién le transferiste o revelaste los datos personales.
Justificación de la divulgación: Cualquier tipo de movimiento, sobre todo de divulgación, debe tener una debida justificación o necesidad que sustente el porqué se realizó.
Tiempo de retención: Esto corresponde básicamente al período de tiempo por el cual vas a mantener estos registros.
Nuestro template está estructurado para dar cumplimiento, pero recuerda que debes ajustarlo al contexto y necesidades de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Revisa este documento periódicamente y considera todas las modificaciones, nuevos procesos o cualquier información relevante para mantenerlo siempre actualizado con tus operaciones y las mejores prácticas.
Asigna a responsables capacitados y concientizados para dar el tratamiento a los datos personales, de manera que puedas garantizar su protección.
Analiza bien las solicitudes de acceso, transferencia y/o divulgación de datos personales, y asegúrate que siempre cuenten con una justificación adecuada y pertinente.
Revisa cuáles son los requisitos de las regulaciones y leyes locales sobre la retención de datos personales para asegurar que tu empresa está en cumplimiento.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.