Política de funciones, responsabilidades y responsabilidad proactiva de privacidad

La Política de funciones, responsabilidades y responsabilidad proactiva de privacidad define cómo la organización asigna, documenta, comunica, revisa y mejora las responsabilidades dentro de su Sistema de Gestión de la Privacidad de la Información. Su alcance cubre al personal, las funciones, los sistemas, los proveedores, los encargados del tratamiento, los subencargados del tratamiento y las relaciones de corresponsabilidad del tratamiento que participan en el tratamiento de datos personales dentro del alcance del PIMS o influyen en él. La política se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, por lo que resulta relevante para el conjunto completo de modelos operativos de privacidad descritos en el documento. También aclara que no crea nuevos títulos de puesto en la organización; en su lugar, define roles canónicos del PIMS que pueden asignarse al personal o a las funciones existentes cuando se documenten los requisitos necesarios de asignación, competencia, independencia y conflicto de intereses. La política establece un modelo estructurado de roles del PIMS y un enfoque de responsabilidad proactiva basado en evidencias. La Alta Dirección debe aprobar el modelo canónico de roles en REG01 antes de la implantación inicial y, posteriormente, con periodicidad anual. El Responsable de Privacidad / Responsable del PIMS mantiene en REG01 las asignaciones nominales de roles, los alcances de responsabilidad y los niveles de autoridad, incluidas las actualizaciones tras cambios de personal u organizativos. La titularidad del tratamiento se vincula a REG02, donde los Propietarios de procesos / Responsables de negocio asignan propietarios responsables para cada actividad de tratamiento de datos personales antes de que comience el tratamiento, y los propietarios del sistema / propietarios de la aplicación documentan los propietarios responsables del sistema antes de la entrada en producción. La titularidad de las relaciones con proveedores, encargados del tratamiento, subencargados del tratamiento y corresponsables del tratamiento, así como del intercambio de datos con terceros, se registra en REG08 antes de la incorporación o de la aprobación del acuerdo. Una parte central de la política es la gestión de combinaciones de roles, segregación e independencia. La política permite la combinación práctica de roles, incluso para organizaciones pequeñas y medianas, pero exige documentación antes de que las combinaciones surtan efecto. Las combinaciones de roles que impliquen al Responsable de Privacidad / Responsable del PIMS, al Delegado de Protección de Datos / Asesor de Privacidad, al Responsable de Seguridad de la Información, al Coordinador de Respuesta a Incidentes o al Revisor de Auditoría Interna / Cumplimiento requieren la aprobación de la Alta Dirección en REG01. El Revisor de Auditoría Interna / Cumplimiento debe documentar su independencia respecto del proceso del PIMS que se revisa en REG12 antes de cada auditoría o revisión de cumplimiento. Cuando no puedan evitarse los conflictos de segregación, deben registrarse controles compensatorios, y el Delegado de Protección de Datos / Asesor de Privacidad debe registrar las cuestiones de independencia o conflicto de intereses en un plazo de cinco días hábiles desde su identificación. La política también define la responsabilidad proactiva en las responsabilidades del responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento. El tratamiento realizado como responsable del tratamiento requiere la titularidad registrada de la responsabilidad, la titularidad de la finalidad y la titularidad de las evidencias en REG02 antes de que comience el tratamiento. La asignación de responsabilidades de corresponsables del tratamiento, la titularidad de las instrucciones del cliente para encargados del tratamiento, la titularidad de la supervisión de subencargados del tratamiento, el estado de aprobación y las vías de escalado de responsabilidad de terceros se gestionan mediante REG08. El Responsable de Privacidad / Responsable del PIMS verifica trimestralmente los registros de clasificación de roles en REG02 y REG08 y en un plazo de 15 días hábiles posteriores a un cambio material. La política exige además que el asesoramiento sobre privacidad, las aportaciones de responsabilidad sobre la seguridad de los datos personales, la responsabilidad de escalado de brechas de seguridad e incidentes de privacidad, las disputas de responsabilidad no resueltas y los escalados relacionados con roles se documenten en objetos de evidencia definidos. La gobernanza, la medición, las excepciones, la aplicación y el mantenimiento se integran en el modelo de responsabilidad proactiva. La Alta Dirección revisa la integridad, los roles no cubiertos, los conflictos de roles, las excepciones de responsabilidad proactiva y las métricas durante la revisión por la dirección. El Responsable de Privacidad / Responsable del PIMS realiza revisiones trimestrales de responsabilidad proactiva, supervisa los roles no cubiertos y combinados, informa sobre la finalización de la concienciación por roles, gestiona las excepciones con límites de caducidad definidos y registra las asignaciones ausentes, inexactas u obsoletas como no conformidades. Los Propietarios de procesos / Responsables de negocio deben impedir la entrada en producción de tratamientos de datos personales nuevos o modificados cuando falten las evidencias requeridas de roles y responsabilidad proactiva. Los Revisores de Auditoría Interna / Cumplimiento prueban las evidencias de roles, informan los hallazgos y verifican la eficacia de las acciones correctivas. La propia política debe revisarse anualmente y dentro de los 30 días posteriores a un cambio material del modelo de roles del PIMS.