Política de Inventario de Tratamientos de Datos Personales y Base Jurídica

La Política de Inventario de Tratamientos de Datos Personales y Base Jurídica define cómo una organización mantiene su inventario de tratamientos de datos personales/RoPA y documenta los hechos esenciales necesarios para demostrar un tratamiento conforme a la responsabilidad proactiva dentro del alcance del PIMS. Se aplica a todas las actividades de tratamiento de datos personales dentro del alcance, incluido el tratamiento realizado como responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento o subencargado del tratamiento. La política cubre el tratamiento realizado por procesos de la organización, sistemas, aplicaciones, proveedores, encargados del tratamiento, subencargados del tratamiento y destinatarios con los que se comparten datos, y se aplica al tratamiento nuevo, modificado sustancialmente y retirado. Un registro de inventario de tratamientos se define como una entrada de REG02 que describe una actividad diferenciada de tratamiento de datos personales, incluida su finalidad, rol, propietario, categorías de datos personales, categorías de interesados, referencia de base jurídica o instrucción del cliente, sistemas, destinatarios, referencia de conservación, referencia de transferencia, estado de riesgo de privacidad y estado de revisión. Un objetivo central de la política es convertir REG02 en el objeto de evidencia fehaciente para el inventario de tratamientos de datos personales y los registros de actividades de tratamiento. La política exige que un Propietario de Procesos o propietario de la empresa cree un registro REG02 antes de que comience cualquier nuevo tratamiento de datos personales y registre los campos requeridos antes de que la actividad se inicie. También exige clasificar el rol de la organización en el PIMS para cada actividad, y vincula sistemas, aplicaciones, proveedores, encargados del tratamiento, subencargados del tratamiento, intercambios con terceros y relaciones de corresponsable del tratamiento con el registro REG02 correspondiente. Esto crea un registro estructurado del tratamiento que puede conectarse con avisos de privacidad, consentimiento, EIPD, riesgo, proveedor, transferencia, control y evidencias de auditoría cuando corresponda. Para las actividades de responsable del tratamiento, la política exige que la finalidad específica del tratamiento se documente antes de que los datos personales sean recogidos, utilizados, divulgados o tratados de otro modo. El Responsable de Privacidad / Responsable del PIMS debe validar la base jurídica registrada en REG02 antes de que comience el tratamiento como responsable del tratamiento y antes de que surta efecto cualquier cambio de finalidad. La política también aborda situaciones especiales: el consentimiento debe vincularse con REG05, los intereses legítimos deben hacer referencia a REG04, las categorías especiales de datos personales requieren una condición registrada, y los datos sobre condenas penales o infracciones requieren una base de autorización. Para los contextos de encargado del tratamiento y subencargado del tratamiento, la política exige que las referencias de instrucción del cliente, la finalidad del cliente, el objeto, la duración, las categorías de datos personales y las categorías de interesados se registren antes de que comience el tratamiento, con evidencias de acuerdo e instrucción mantenidas en REG08. La política también define cómo el inventario se mantiene actualizado. Los cambios materiales del tratamiento incluyen cambios en la finalidad, base jurídica, rol en el PIMS, categoría de datos personales, categoría de interesados, destinatario, sistema, proveedor, subencargado del tratamiento, ubicación del tratamiento, transferencia, regla de conservación, clasificación de seguridad, aviso de privacidad, dependencia del consentimiento, estado de la EIPD, instrucción del cliente o alcance de certificación. REG02 debe actualizarse en un plazo de 10 días hábiles desde la identificación de dicho cambio, y la evaluación preliminar de riesgos de privacidad y la evaluación preliminar de EIPD deben iniciarse en REG04 antes de que prosiga el tratamiento nuevo o modificado sustancialmente. El Responsable de Privacidad / Responsable del PIMS concilia REG02 con REG01, REG03, REG04, REG08 y REG09 trimestralmente, mientras que los revisores de auditoría interna / cumplimiento toman muestras de completitud, exactitud y actualidad durante las revisiones programadas. La gobernanza, la medición, las excepciones y la aplicación se integran en la política. El Responsable de Privacidad / Responsable del PIMS presenta resúmenes trimestrales sobre el estado de salud del inventario en REG12, registra métricas del inventario, valida nuevos registros REG02 y mantiene reglas mínimas de campos y cadencia de revisión. La Alta Dirección revisa la completitud, las revisiones vencidas, los problemas importantes de base jurídica y las no conformidades no resueltas durante la revisión por la dirección. Las excepciones deben solicitarse y evaluarse en REG12, con fechas de caducidad que no superen los 90 días, y ciertas excepciones requieren asesoramiento del Delegado de Protección de Datos / Asesor de Privacidad y aprobación de la Alta Dirección. La aplicación incluye registrar no conformidades, suspender nuevos tratamientos cuando falten evidencias, bloquear la entrada en producción de sistemas o la incorporación de proveedores cuando falte la vinculación requerida, y verificar la eficacia de las acciones correctivas.