Política de Protección de Datos y Privacidad

La Política de Protección de Datos y Privacidad (P17) establece un marco integral para la protección de los datos personales y la implantación de principios de privacidad desde el diseño en toda la organización. Esta política establece los requisitos organizativos y técnicos obligatorios necesarios para cumplir con normas internacionales y marcos regulatorios en evolución, garantizando que los datos personales se manejen de forma lícita, segura y transparente a lo largo de su ciclo de vida. La cobertura se extiende a todas las unidades organizativas, al personal y a los sistemas que tratan datos personales, ya sea en soportes físicos o digitales, e incluye servicios en la nube, plataformas SaaS y dispositivos móviles. La política es explícita en su alcance, aclarando que todos los empleados, contratistas y terceros están sujetos a sus requisitos. Se incluyen todos los entornos donde residan datos personales: producción, desarrollo, pruebas o respaldo. La política aborda no solo la recopilación, el almacenamiento y el uso de datos personales, sino también la conservación, la eliminación, las transferencias transfronterizas y la gestión de los derechos de los interesados. Un objetivo central de la política es garantizar el cumplimiento de las principales regulaciones y normas: GDPR (Artículos 5, 6, 12–23, 25, 28, 30, 32–34; Considerando 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (Cláusulas 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (Controles 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (varios controles) y COBIT 2019 (APO12, DSS01, DSS05, MEA). Para ello, exige la asignación de roles y estructuras de rendición de cuentas: la Dirección ejecutiva garantiza la supervisión estratégica; el DPO coordina los procesos de cumplimiento, la aplicación de los derechos de los interesados y la interacción con las autoridades de control; y Seguridad, Legal, Propietarios de datos y TI implementan de forma colaborativa salvaguardas técnicas y organizativas, mantienen registros y gestionan violaciones de seguridad. La política requiere un Marco de Gobernanza de la Privacidad formal integrado con el SGSI de la organización para una aplicación coherente. Delimita procesos para mantener registros de riesgos de privacidad, realizar DPIA para tratamientos de alto riesgo y garantizar que los controles de privacidad (desde la minimización de datos y la seudonimización hasta la programación de conservación y la eliminación segura) estén profundamente integrados. El tratamiento lícito y los fundamentos jurídicos documentados son fundamentales, con una gestión explícita del consentimiento, los inventarios de datos y los flujos de datos transfronterizos. Las solicitudes de los interesados se gestionan dentro de plazos establecidos y se registran para trazabilidad, y se describen en detalle marcos sólidos para la gestión de violaciones de seguridad, la gestión de excepciones y la supervisión de terceros. Las revisiones periódicas, las pistas de auditoría y el requisito de auditorías internas anuales (o ad hoc) ayudan a garantizar que la política siga siendo eficaz y responda a cambios regulatorios, hallazgos de auditoría o incidentes importantes. Cada actualización significativa debe ser aprobada por la Dirección ejecutiva y documentada en el SGSI. Esta política forma parte integral del sistema más amplio de seguridad de la información y gestión de riesgos de la organización, y se vincula estrechamente con políticas complementarias sobre respuesta a incidentes, gestión de riesgos, clasificación, conservación, enmascaramiento de datos y monitorización de auditoría.