Política de Transferencias Internacionales de Datos Personales

La Política de Transferencias Internacionales de Datos Personales establece requisitos para identificar, aprobar, registrar, revisar, restringir y suspender transferencias internacionales de datos personales. Se aplica a actividades de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento cuando los datos personales se ponen a disposición, se accede a ellos desde, se almacenan en, se alojan en, se divulgan a o se transfieren de otro modo fuera del límite de tratamiento aprobado registrado en REG02 o REG09. El alcance incluye filiales internas, destinatarios externos, encargados del tratamiento, subencargados del tratamiento, proveedores de servicios, acceso de soporte, ubicaciones de alojamiento, administración remota, transferencias ulteriores, solicitudes de divulgación de datos por una autoridad pública y cambios del servicio relacionados con transferencias. Una característica central de la política es su enfoque basado en evidencias. La política establece que las transferencias internacionales deben identificarse antes de que comience o cambie el tratamiento, y que los registros de transferencia aprobados deben mantenerse en REG09. REG09 es el objeto de evidencia principal de la transferencia, mientras que REG02, REG08 y REG12 proporcionan evidencias de apoyo para actividades de tratamiento, relaciones con proveedores y encargados del tratamiento, excepciones, no conformidades, acciones correctivas y revisión por la dirección. Los campos requeridos de REG09 incluyen destino de la transferencia, destinatario, rol en el PIMS, mecanismo de transferencia, evidencias de apoyo, fecha de revisión y propietario. Esta estructura está destinada a ayudar a la organización a demostrar una gobernanza responsable de las transferencias sin crear registros duplicados de evaluaciones de impacto de transferencias o de CCT. La política define controles para la selección, aprobación y revisión de riesgos del mecanismo de transferencia. Para transferencias del responsable del tratamiento, el Responsable de Privacidad / Responsable del PIMS registra el mecanismo de transferencia aprobado y las evidencias de apoyo en REG09 antes de que comience la transferencia. El Delegado de Protección de Datos / Asesor de Privacidad revisa las evidencias del mecanismo de transferencia antes de la aprobación de transferencias internacionales de datos personales nuevas, modificadas sustancialmente o de mayor riesgo, y completa la revisión del riesgo de transferencia cuando se activa. Cuando se dependa de garantías técnicas, el Responsable de Seguridad de la Información registra el estado de dependencia de las garantías técnicas en REG09 o REG12. Si el riesgo residual de transferencia es alto, la Alta Dirección debe aprobar la continuación de la operación de transferencia en REG12 antes de que se acepte ese riesgo. También se aborda la gobernanza de encargados del tratamiento, subencargados del tratamiento y transferencias ulteriores. El Responsable de Proveedores/Adquisición debe obtener autorización o instrucción documentada del cliente en REG08 y REG09 antes de iniciar transferencias internacionales de datos personales por encargados del tratamiento, registrar la autorización de subencargados del tratamiento y las condiciones de transferencia trasladadas contractualmente, e impedir la transferencia ulterior por encargados o subencargados del tratamiento hasta que se registre la autorización del cliente. La política también exige que las rutas de transferencia ulterior, las categorías de destinatarios, las restricciones y las obligaciones se registren antes de la aprobación. Las solicitudes de divulgación de datos por una autoridad pública extranjera deben registrarse en REG09 o REG12 antes de la divulgación cuando sea viable, o en el plazo de un día hábil cuando el registro previo no sea viable, y las solicitudes significativas para la privacidad deben recibir revisión del asesor de privacidad cuando sea viable. La gobernanza continua se gestiona mediante requisitos definidos de revisión, medición, excepciones y aplicación. Los registros de transferencia activos se revisan al menos anualmente y en un plazo de 30 días desde un cambio material de la transferencia, mientras que el Responsable de Privacidad / Responsable del PIMS revisa al menos trimestralmente las revisiones de transferencia vencidas, los registros incompletos, las transferencias suspendidas y las excepciones de transferencia abiertas. Las métricas incluyen el porcentaje de registros REG09 activos con evidencias completas del mecanismo de transferencia, revisiones de transferencia vencidas, transferencias suspendidas o aplazadas, evidencias vencidas de encargados del tratamiento o terceros, y actividades de tratamiento REG02 no coincidentes con indicadores de posible transferencia internacional. Las excepciones deben registrarse en REG12 antes de activarse, asignarse a un propietario, una fecha de caducidad, un control compensatorio y una frecuencia de revisión, y revisarse al menos mensualmente hasta su cierre. Las no conformidades deben registrarse cuando se identifiquen transferencias no registradas, mecanismos no respaldados, autorización ausente, revisiones vencidas, evidencias de transferencia ulterior ausentes o continuación no autorizada.