Política de Gestión de la Información Documentada y Evidencias del PIMS

La Política de Gestión de la Información Documentada y Evidencias del PIMS define requisitos obligatorios para controlar el ciclo de vida completo de la información documentada del Sistema de Gestión de la Privacidad de la Información. Su alcance cubre la creación, aprobación, versionado, protección, conservación, recuperación, traducción, retirada y evidenciación de registros del PIMS. La política se aplica a políticas del PIMS, registros, aprobaciones documentadas, registros de evidencias, evidencias de auditoría, registros de revisión por la dirección, evidencias de acciones correctivas y traducciones controladas utilizadas para demostrar la conformidad del PIMS. Está redactada para contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, lo que la hace aplicable a los roles que una organización puede asumir al tratar información de identificación personal (PII). Una característica central de la política es su dependencia de los objetos de evidencia canónicos del PIMS de REG01 a REG12, en lugar de crear un registro separado de control documental. La política establece que las evidencias de control de información documentada se mantienen mediante estos objetos de evidencia, con REG03 y REG12 utilizados específicamente para la aplicabilidad de los controles, auditoría, no conformidad, acciones correctivas y evidencias de mejora. Este enfoque está concebido para evitar burocracia innecesaria de control documental, preservando al mismo tiempo registros preparados para auditoría para la certificación, el aseguramiento de clientes y la mejora continua. REG12 se utiliza ampliamente para el índice de información documentada, niveles de acceso, clasificaciones de sensibilidad, estado de aprobación, historial de versiones, solicitudes de recuperación, aprobaciones de divulgación, categorías de conservación, estado de retirada, excepciones y seguimiento de acciones correctivas. La política establece controles detallados para la creación, aprobación, versionado y publicación. Antes de publicar información documentada del PIMS, el Responsable de Privacidad / Responsable del PIMS debe asignar un identificador de documento, propietario, número de versión, estado de aprobación, fecha de entrada en vigor y fecha de revisión en REG12. La alta dirección debe aprobar las políticas esenciales del PIMS y los cambios materiales de política antes de su publicación, mientras que el Responsable de Privacidad / Responsable del PIMS aprueba las plantillas de evidencias o las secciones integradas de registros antes de su uso operativo. La política también exige que el historial de versiones y la justificación de cambios se registren antes de la liberación, y que la comunicación de los cambios aprobados se registre en REG11 dentro de los 30 días posteriores a la publicación. La calidad y la trazabilidad de las evidencias se tratan como requisitos operativos, no como tareas de documentación opcionales. El Responsable de Privacidad / Responsable del PIMS debe definir convenciones de nomenclatura de evidencias, conciliar trimestralmente y antes de una auditoría externa las referencias de controles de REG03 con los registros de evidencias de políticas, y aplicar la convención de nomenclatura de exportación aprobada antes de compartir evidencias para auditoría de certificación, aseguramiento de clientes o respuesta regulatoria. Los Propietarios de procesos / Propietarios de la empresa deben garantizar que las evidencias de tratamiento incluyan el propietario de la evidencia, la fecha, la referencia de la actividad de tratamiento, el estado de decisión y el estado de aprobación antes de utilizarlas para auditoría. Los Revisores de Auditoría Interna / Cumplimiento deben registrar las deficiencias de completitud, exactitud o trazabilidad durante auditorías programadas o revisiones de cumplimiento. La política también define controles de acceso, protección, recuperación, divulgación, conservación, retirada, archivo, eliminación y control de versiones multilingües. Las restricciones de acceso al repositorio deben registrarse antes de conceder acceso y revisarse trimestralmente, y el acceso a evidencias del PIMS que contengan información de identificación personal (PII) debe aprobarse antes de concederse. Las divulgaciones de evidencias a auditores externos, clientes, encargados del tratamiento, responsables del tratamiento, autoridades de control u otras partes externas requieren que se registren la aprobación y el alcance de la divulgación. Las versiones obsoletas deben retirarse dentro de plazos definidos, las versiones anteriores aprobadas de políticas deben preservarse, y el archivo o la supresión no deben producirse hasta que se hayan comprobado las dependencias de retención por auditoría, retención legal, investigación de incidentes o acciones correctivas. Las métricas, la gestión de excepciones, la aplicación y los requisitos de revisión anual garantizan que la información documentada siga siendo vigente, recuperable, protegida y alineada con las necesidades de conformidad del PIMS.