Política de formación, concienciación y competencia en privacidad

La Política de formación, concienciación y competencia en privacidad define cómo una organización gestiona la formación en privacidad dentro de su Sistema de Gestión de la Privacidad de la Información. Su propósito es garantizar que las personas cuyo trabajo afecta al tratamiento de datos personales comprendan sus responsabilidades, completen la formación con una cadencia definida, mantengan la competencia pertinente para su rol y produzcan evidencias auditables de formación, concienciación y escalado. La política se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, por lo que resulta pertinente para organizaciones que manejan datos personales directamente, así como para aquellas que actúan conforme a instrucciones del cliente o mediante acuerdos de tratamiento con terceros. El alcance es intencionadamente amplio y operativo. Se aplica al personal, contratistas, personal temporal, terceros pertinentes, encargados del tratamiento, subencargados del tratamiento y otras partes interesadas cuyo trabajo pueda afectar al tratamiento de datos personales, los derechos de los interesados, el riesgo de privacidad, la seguridad de la información relacionada con datos personales, las instrucciones del encargado del tratamiento, los incidentes de privacidad, la información documentada o las evidencias de cumplimiento. La política cubre la identificación de destinatarios de la formación en privacidad, la formación de alta, la formación de actualización anual, la formación basada en roles y activada por eventos, las evidencias de finalización de la formación, el escalado por no finalización, la revisión de la eficacia de la formación y las evidencias de aseguramiento de la formación de encargados del tratamiento, subencargados del tratamiento y terceros. Una característica central de la política es su modelo de evidencias. Establece que no se crean una matriz de formación, un panel, un registro de competencias, un registro disciplinario ni un registro de formación de clientes separado. En su lugar, las asignaciones de formación, finalizaciones, recordatorios, evidencias de competencia y evidencias de concienciación se registran en REG11. Las excepciones, escalados, no conformidades, acciones correctivas y evidencias de revisión se registran en REG12. Las evidencias de aseguramiento de la formación de encargados del tratamiento, subencargados del tratamiento y terceros se registran en REG08 cuando corresponda, mientras que las aportaciones derivadas de lecciones de incidentes pueden vincularse mediante REG10. Este enfoque ayuda a mantener la formación en privacidad trazable sin duplicar registros ni crear una carga administrativa innecesaria. La política establece cadencias y desencadenantes específicos de formación. La formación básica de concienciación en privacidad debe asignarse dentro de los 10 días hábiles posteriores al alta para el personal con acceso a datos personales o responsabilidades del PIMS, y el personal debe completar la formación de privacidad de alta antes de que se apruebe el acceso no supervisado a datos personales o dentro de los 30 días posteriores al alta, lo que ocurra primero. La formación de actualización anual en privacidad debe asignarse al menos una vez cada 12 meses. La formación de actualización específica es obligatoria dentro de los 30 días posteriores a un cambio material de la política de privacidad, un cambio material del proceso del PIMS, un hallazgo de auditoría, un fallo recurrente de formación o una lección pertinente derivada de un incidente de datos personales. La formación basada en roles también es obligatoria antes de que el personal asuma responsabilidades relacionadas con la base jurídica, avisos, consentimiento, derechos de los interesados, EIPD, conservación, intercambio, transferencias internacionales, acceso privilegiado, administración de seguridad, registro de eventos, supervisión o apoyo a incidentes. La gobernanza y la aplicación se incorporan en la política mediante responsabilidades definidas, supervisión y escalado. El Responsable de Privacidad / Responsable del PIMS mantiene el contenido de formación, las asignaciones, las evidencias de finalización, los acuses de recibo y las evidencias de eficacia. Los Propietarios de procesos apoyan la finalización por parte del personal bajo su responsabilidad, los propietarios del sistema verifican la formación antes de aprobar el acceso privilegiado o el acceso a sistemas de datos personales de alto impacto, y los Responsables de proveedores / Adquisición mantienen la formación o las evidencias de aseguramiento equivalentes para proveedores, encargados del tratamiento, subencargados del tratamiento y miembros de la plantilla externa. La política requiere una revisión trimestral de la finalización, la formación vencida, las asignaciones basadas en roles y las excepciones, con notificación de las deficiencias de evidencias no resueltas antes de la revisión por la dirección. Los revisores de auditoría interna / cumplimiento muestrean evidencias de REG11 y REG12 conforme al Plan de Auditoría aprobado, lo que respalda la mejora continua y la responsabilidad proactiva preparada para la certificación.