Política de recopilación, uso, divulgación y uso compartido de información de identificación personal (PII)

La Política de recopilación, uso, divulgación y uso compartido de información de identificación personal (PII) define los requisitos operativos sobre cómo se recopila, utiliza, divulga y comparte la información de identificación personal dentro del alcance del PIMS. Su finalidad declarada es garantizar que la PII se maneje únicamente para finalidades documentadas, aprobadas, limitadas y sujetas a responsabilidad proactiva. La política se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, y cubre la recogida mediante canales directos, indirectos, automatizados, manuales, internos, externos y de terceros. También aborda el uso interno aprobado por procesos de la organización, sistemas y aplicaciones, el uso secundario para finalidades nuevas o modificadas sustancialmente, la divulgación externa a destinatarios y terceros, y tanto los acuerdos de uso compartido de datos recurrentes como las divulgaciones puntuales. Una característica central de la política es el uso de registros de evidencias para conectar las decisiones de privacidad con registros auditables. REG02 se utiliza para el inventario de tratamientos de PII, las finalidades aprobadas, las reglas de recogida, las reglas de uso y las comprobaciones de compatibilidad de uso secundario. REG08 se utiliza para registros de encargados del tratamiento, subencargados del tratamiento y de uso compartido de datos, incluida la identidad del destinatario, el rol del destinatario, la finalidad de la divulgación, las categorías de PII, la frecuencia de uso compartido, la ubicación del tratamiento y la fuente fehaciente de autorización. REG09 se utiliza cuando el uso compartido implica un nuevo país, una organización internacional, una ubicación de acceso remoto, una ubicación del destinatario o una ubicación de transferencia ulterior. REG12 se utiliza para excepciones, no conformidades, hallazgos de auditoría, acciones correctivas, problemas que bloquean la implementación y registros de revisión de la política. La política establece puntos de control claros antes de que comience el tratamiento. Los Propietarios de procesos o Propietarios de la empresa deben registrar en REG02 las finalidades de recogida, fuentes o canales, categorías de PII, categorías de interesados y elementos mínimos de datos antes de que empiece una nueva recogida o un cambio material. También deben documentar una justificación de necesidad para cada elemento de datos de PII antes de la recogida. Los Propietarios del sistema o Propietarios de aplicaciones solo pueden implementar campos de recogida, campos de flujo de trabajo, informes, exportaciones o salidas de divulgación aprobados que coincidan con la aprobación de REG02 o REG08. En contextos de encargado del tratamiento, la alineación con la instrucción del cliente debe registrarse antes de recopilar, utilizar o divulgar PII del cliente. El uso secundario se trata como una decisión gobernada, no como una extensión informal de una actividad existente. Antes de utilizar PII para una finalidad que aún no esté aprobada en REG02, el Propietario del proceso o Propietario de la empresa debe registrar una comprobación de compatibilidad que cubra la finalidad original, la finalidad propuesta, la dependencia de la base jurídica, las categorías de PII, las expectativas de los interesados, la justificación de minimización, el impacto de divulgación o transferencia y la derivación a otras políticas del PIMS cuando sea necesario. El Responsable de Privacidad o el Responsable del PIMS debe registrar una aprobación o rechazo antes de que comience el uso secundario. Cuando estén implicados acuerdos de uso compartido recurrente sensibles, interesados vulnerables, registros de alto impacto o expectativas modificadas sustancialmente, debe registrarse el asesoramiento del Delegado de Protección de Datos o del Asesor de Privacidad antes de la aprobación. La gobernanza, la medición y la aplicación están integradas en la política. El Responsable de Privacidad o el Responsable del PIMS revisa las reglas de uso aprobado al menos anualmente, concilia las finalidades aprobadas de REG02 con los registros activos de uso compartido de REG08 al menos anualmente y registra los resultados en REG12. Los Propietarios de proveedores o de Adquisición concilian las entradas activas de uso compartido de REG08 con las relaciones activas de encargado del tratamiento, subencargado del tratamiento, destinatario y uso compartido de datos al menos trimestralmente. Los revisores de auditoría interna o de cumplimiento muestrean anualmente las evidencias de REG02, REG08 y REG09 y registran los resultados en REG12. La recogida, el uso, la divulgación o el uso compartido no aprobados deben registrarse como no conformidad dentro de los cinco días hábiles, y el tratamiento puede suspenderse dentro de un día hábil cuando no existan evidencias aprobadas.