Política de evaluación de riesgos de privacidad y EIPD

La Política de evaluación de riesgos de privacidad y EIPD define cómo una organización identifica, evalúa, trata, aprueba, revisa y evidencia los riesgos de privacidad dentro del alcance del PIMS. Su finalidad es garantizar que los riesgos de privacidad y las obligaciones de EIPD se aborden antes de que el tratamiento de datos personales genere un riesgo inaceptable para los interesados o para el PIMS. La política se aplica a actividades de tratamiento de datos personales nuevas y con cambios materiales en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento. También cubre sistemas, aplicaciones, servicios, procesos de negocio, proveedores, encargados del tratamiento, subencargados del tratamiento, transferencias internacionales y acuerdos de intercambio de datos que afecten al tratamiento de datos personales. Una característica central de la política es su modelo operativo basado en REG04. La evaluación preliminar de riesgos de privacidad, la evaluación preliminar de EIPD, la evaluación de riesgos, los planes de tratamiento, la aceptación del riesgo residual, las decisiones de consulta, las aprobaciones y el estado de revisión se documentan en REG04, con evidencias de soporte vinculadas a REG02, REG03, REG08, REG09, REG10, REG11 y REG12. La política evita expresamente crear registros separados de EIPD, riesgos o consultas fuera de REG04. Esto ayuda a conservar una única pista de evidencias para los resultados de la evaluación preliminar, las decisiones de EIPD completa, las clasificaciones de riesgo, los propietarios del tratamiento, las fechas límite, el riesgo residual, el estado de aprobación y las fechas de revisión. La política establece activadores obligatorios para la evaluación preliminar de riesgos de privacidad y la determinación de EIPD completa. Los Propietarios de procesos / Propietarios de la empresa deben iniciar la evaluación preliminar de REG04 antes de que comience el tratamiento nuevo o con cambios materiales registrado en REG02. El tratamiento del responsable del tratamiento que probablemente entrañe un alto riesgo exige una EIPD completa antes de que comience el tratamiento. La política identifica los tratamientos que impliquen actividad a gran escala, monitorización sistemática, elaboración de perfiles, decisiones automatizadas, categorías especiales de datos personales, datos relativos a condenas e infracciones penales, interesados vulnerables, tecnología innovadora y cambios materiales del tratamiento como asuntos que deben remitirse al Responsable de Privacidad / Responsable del PIMS antes de que se inicie el tratamiento. También exige una nueva evaluación preliminar antes de utilizar datos personales para una nueva finalidad, añadir un nuevo destinatario, introducir un nuevo encargado del tratamiento o subencargado del tratamiento, cambiar la arquitectura del sistema o iniciar una nueva transferencia internacional. El tratamiento del riesgo y el escalado también están claramente definidos. Cuando el riesgo de privacidad supere el umbral de aceptación aprobado, el Propietario del proceso / Propietario de la empresa debe registrar un plan de tratamiento en REG04 antes de que avance el tratamiento. Las acciones de seguridad, diseño del sistema, proveedores, contractuales y de aseguramiento se asignan al rol correspondiente y deben implementarse antes de la entrada en producción, la incorporación, la renovación o la fecha límite aprobada. El alto riesgo residual de privacidad para el tratamiento del responsable del tratamiento exige la aprobación de la alta dirección antes de que el tratamiento comience o continúe. Cuando persista un alto riesgo residual después del tratamiento, el Responsable de Privacidad / Responsable del PIMS registra la decisión de consulta previa en REG04, y la alta dirección aprueba las acciones de continuación, suspensión, rediseño o consulta antes de que el tratamiento avance. Los requisitos de gobernanza, supervisión y aplicación garantizan que el proceso permanezca activo después de la aprobación inicial. El Responsable de Privacidad / Responsable del PIMS revisa mensualmente los riesgos de privacidad abiertos y las acciones de tratamiento vencidas, informa trimestralmente y antes de la revisión por la dirección sobre el estado de los riesgos de privacidad y las EIPD, y concilia los registros de riesgo activos de REG04 con los registros del inventario de tratamientos de REG02. La política define métricas para cobertura de evaluación preliminar, EIPD completas activas, revisiones vencidas, altos riesgos residuales, estado de acciones de tratamiento, tiempo medio de cierre, acciones de proveedores, acciones de tratamiento de seguridad, reevaluación impulsada por incidentes y hallazgos de auditoría. Las excepciones deben solicitarse antes de la desviación, evaluarse por su impacto en la privacidad, el ámbito legal, la certificación, las operaciones y los interesados, y recibir una fecha de caducidad que no supere los 90 días. Las evidencias de REG04 ausentes, inexactas, incompletas, vencidas o no aprobadas se tratan como una no conformidad en REG12.