Política del Sistema de Gestión de la Privacidad de la Información

La Política del Sistema de Gestión de la Privacidad de la Información establece el PIMS de la organización para el tratamiento de datos personales en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento. Su finalidad declarada es definir requisitos obligatorios de gobernanza para establecer, implementar, mantener, supervisar y mejorar continuamente el PIMS. La política está diseñada para respaldar una gestión responsable, basada en riesgos y sustentada en evidencias del tratamiento de datos personales en los roles aplicables del PIMS. Se aplica al alcance del PIMS, el contexto organizativo, las partes interesadas, los límites, la determinación del rol, la política de privacidad, los objetivos de privacidad, la evaluación de riesgos de privacidad, el tratamiento de riesgos de privacidad, la Declaración de Aplicabilidad del PIMS, la gobernanza, la supervisión, la auditoría interna, la revisión por la dirección, la no conformidad, la acción correctiva y las evidencias documentadas necesarias para demostrar conformidad y responsabilidad proactiva. Una característica central de la política es su enfoque en una responsabilidad proactiva definida. La Alta Dirección debe aprobar el alcance del PIMS en REG01 antes de la implementación inicial y en un plazo de 30 días desde cualquier cambio material, aprobar la política y los objetivos del PIMS en REG12 anualmente, y revisar el desempeño, los riesgos abiertos, las no conformidades, las acciones correctivas y las decisiones de mejora durante la revisión por la dirección. El Responsable de Privacidad / Responsable del PIMS mantiene los registros esenciales del PIMS, incluidos los asuntos de contexto, las partes interesadas, los objetivos, la Declaración de Aplicabilidad, las decisiones de tratamiento del riesgo, el índice de evidencias, las métricas, las excepciones, las acciones correctivas y los registros de revisión de la política. Los Propietarios de procesos clasifican el rol de la organización en el PIMS para cada actividad de tratamiento de datos personales antes de que comience el tratamiento, mientras que los Propietarios de proveedores / adquisición documentan la asignación de responsabilidades del corresponsable del tratamiento, las instrucciones de tratamiento del cliente, los acuerdos de subtratamiento aprobados, la gobernanza de proveedores y los procesos pertinentes para el PIMS prestados externamente. La política conecta la gobernanza del PIMS con el control operacional. La evaluación de riesgos de privacidad debe iniciarse antes de que comience un tratamiento de datos personales nuevo o modificado materialmente, y la necesidad de una EIPD debe determinarse antes de que continúe un tratamiento de responsable del tratamiento de alto riesgo o modificado materialmente. Las decisiones aprobadas de tratamiento de riesgos de privacidad se registran antes de la implementación del tratamiento, y los Propietarios de sistemas deben confirmar los controles operacionales del PIMS antes de la puesta en producción de los sistemas que tratan datos personales. El Responsable de Seguridad de la Información es responsable de documentar la línea base de seguridad de datos personales aplicable y mantener el estado de implementación de los controles de seguridad, vinculando la gobernanza de la privacidad con la línea base de seguridad de datos personales y la Declaración de Aplicabilidad. Esta estructura ayuda a garantizar que el alcance, las actividades de tratamiento, la aplicabilidad de los controles, los acuerdos con proveedores y los registros de riesgos permanezcan alineados antes de la revisión por la dirección y de los cambios relacionados con la certificación. La política también define requisitos de auditabilidad y mejora continua. El Responsable de Privacidad / Responsable del PIMS debe mantener un índice de evidencias del PIMS antes de cada auditoría interna, conservar la información documentada conforme a los requisitos de conservación de evidencias, mantener métricas de desempeño trimestralmente e informar del estado de los objetivos antes de la revisión por la dirección. El conjunto mínimo de medición incluye el porcentaje de actividades de tratamiento dentro del alcance con clasificación de rol vigente, el porcentaje de controles aplicables con estado de implementación vigente, las no conformidades abiertas y acciones correctivas vencidas, y las evaluaciones de riesgos de privacidad pendientes de aprobación. Los Revisores de auditoría interna / cumplimiento deben informar de los resultados de la revisión en un plazo de 15 días hábiles, muestrear la integridad de las evidencias durante las auditorías internas, verificar las evidencias de cierre de excepciones vencidas y verificar la eficacia de las acciones correctivas en un plazo de 30 días desde el cierre notificado. Las excepciones, la aplicación y el mantenimiento se abordan como procesos formales del PIMS, no como desviaciones informales. Las excepciones solicitadas deben documentarse antes de que se produzca la desviación, evaluarse respecto del riesgo de privacidad antes de su aprobación y revisarse trimestralmente hasta su cierre. Las excepciones que superen los umbrales aceptados de riesgo de privacidad requieren aprobación de la Alta Dirección antes de su implementación. Las sospechas de no conformidad deben registrarse en un plazo de cinco días hábiles, las acciones correctivas mayores vencidas deben escalarse a la Alta Dirección y las no conformidades mayores no resueltas deben revisarse en cada revisión por la dirección. La propia política se revisa anualmente y en un plazo de 30 días desde cambios materiales legales, organizativos, de tratamiento, tecnológicos o del alcance de certificación, y los cambios aprobados se comunican en REG11 en un plazo de 30 días desde su publicación.