Política de privacidad desde el diseño y por defecto

La Política de privacidad desde el diseño y por defecto define cómo deben incorporarse los requisitos de privacidad en las actividades nuevas y modificadas de tratamiento de datos personales dentro del alcance del PIMS. Se aplica a proyectos, productos, servicios, sistemas, aplicaciones, integraciones, actividades de adquisición y cambios en procesos de la organización. La política está redactada para contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, incluidas las situaciones en las que la organización diseña, configura, modifica u opera tratamientos por cuenta de un cliente, responsable del tratamiento o encargado del tratamiento ascendente conforme a instrucciones documentadas. Su finalidad principal es garantizar que los requisitos de privacidad se identifiquen, implanten y evidencien antes de que comience el tratamiento de datos personales o de que cambie de forma sustancial. La política pone especial énfasis en la finalidad, necesidad, minimización y valores por defecto protectores de la privacidad. Los Propietarios de procesos y los Propietarios de la empresa deben documentar las categorías mínimas de datos personales, las categorías de interesados, las fuentes y las finalidades en REG02 y REG04 antes de la aprobación del diseño de recogida o importación. Los propietarios del sistema y los Propietarios de aplicaciones deben configurar los ajustes de tratamiento por defecto para limitar la recogida y el tratamiento de datos personales al mínimo necesario para la finalidad documentada, y deben registrar evidencias en REG04 antes de la entrada en producción. Los campos opcionales de datos personales, las opciones de tratamiento opcionales, los ajustes desactivados por defecto, los ajustes de exposición para vistas e informes, y la gestión de archivos temporales, cachés, registros o registros de preproducción se tratan como obligaciones de privacidad en la fase de diseño, no como correcciones operativas posteriores. La vinculación con el riesgo de privacidad y la EIPD se integra en el proceso de diseño sin sustituir la metodología separada definida en PII07. El Responsable de Privacidad / Responsable del PIMS debe confirmar que el riesgo de privacidad y la evaluación preliminar de la EIPD se registran en REG04 antes de la aprobación del diseño para tratamientos de datos personales nuevos o modificados de forma sustancial. Las acciones de tratamiento del diseño de privacidad, los propietarios y las fechas límite deben registrarse antes del cierre de la revisión, y las evidencias de implantación deben capturarse antes de la entrada en producción. Para tratamientos de responsable del tratamiento de alto riesgo o modificados de forma sustancial, la política también exige una comprobación de privacidad desde el diseño posterior a la implantación en REG04 dentro de los 30 días naturales posteriores a la entrada en producción. Cuando los problemas de diseño estén ausentes, sean ineficaces, estén vencidos o se eludan, se abre una acción correctiva en REG12. La política también extiende la privacidad desde el diseño a la adquisición y a las relaciones con terceros. Los Responsables de proveedores y de adquisición deben registrar en REG08 los requisitos de privacidad desde el diseño aplicables a proveedores, encargados del tratamiento, subencargados del tratamiento, servicios SaaS, plataformas o sistemas alojados externamente antes de la aprobación de la adquisición. La necesidad, finalidad y categorías mínimas de datos personales de terceros deben documentarse antes del tratamiento externo, el intercambio de datos o la aprobación de la adquisición. El soporte del proveedor para ajustes de privacidad por defecto, minimización y necesidades de configuración del cliente debe registrarse antes de la incorporación, mientras que las deficiencias de diseño de privacidad de proveedores no resueltas se escalan a REG12 en un plazo de cinco días hábiles y antes de la firma del contrato. La gobernanza, la supervisión, la aplicación y el mantenimiento se definen mediante evidencias recurrentes y ciclos de revisión. El Responsable de Privacidad / Responsable del PIMS presenta resúmenes trimestrales del estado del diseño de privacidad en REG12, calcula métricas de finalización y acciones vencidas, y verifica que las evidencias de diseño permanezcan consolidadas en REG02, REG04, REG08 y REG12 antes de la auditoría interna. La Alta Dirección revisa las excepciones de alto impacto, las decisiones de entrada en producción bloqueadas y los hallazgos recurrentes durante la revisión por la dirección. Las disposiciones de aplicación exigen impedir la entrada en producción cuando la revisión REG04 esté incompleta, impedir la incorporación cuando no existan evidencias REG08 y suspender el tratamiento de datos personales nuevo o modificado hasta que se completen la revisión REG04, las actualizaciones REG02 y las excepciones REG12 requeridas.