👉 Esta actividad te ayuda a cumplir los controles:
Control de 27018 compartido con 27001: A.5.1.1 y A.16.1
A.5.1.1 y A.16.1 de 27001 respectivamente en su versión 2013
A.5.1 y A.5.24 de 27001 respectivamente en su versión 2022
Controles específicos de 27018: A.2.1, A.3.1, A.4, A.5.1, A.6.2, A.7, A.8.1, A.9, A.10.3, A.11.11, A.11.12, A.11.13, A.12.1, A.12.2
Controles específicos de ISO 27701: 7.2.1, 7.2.2, 7.2.3, 7.2.4, 7.3.1, 7.3.2, 7.3.3, 7.3.4, 7.3.5, 7.3.6, 7.3.7, 7.3.8, 7.3.9, 7.3.10, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.4.5, 7.4.6, 7.4.7, 7.4.8, 7.4.9, 7.5.1, 7.5.2, 7.5.3, 7.5.4, 8.4.1, 8.5.2, 8.5.3
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para establecer las directrices con las que la organización se basará para proteger los datos personales que recaba, de manera que puedas minimizar los riesgos de daño, pérdida, destrucción, acceso no autorizado, entre otros, y así, mantener la privacidad de la información.
¿Qué tengo que hacer? 🚀
Para crear esta política te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender mejor los temas abarcados.
Si hay algo que no puedas implementar, los responsables principales de este proyecto deben poder justificar los motivos de esto durante una auditoría, y en la medida de lo posible, considerarlo como una iniciativa de mejora para una futura implementación.
De igual forma no dudes en acercarte a nosotros para validar la situación en conjunto y darte la mejor solución 🚀.
A continuación te enlistamos los temas de seguridad que encontrarás en el template y que deberás trabajar y adaptar al contexto de tu empresa.
Lineamientos generales: Estos lineamientos van a definir a alto nivel la manera en la que la empresa obtendrá los datos personales, cómo los van a proteger, y cómo se notificará al titular sobre su tratamiento.
Finalidades del tratamiento: Se deben establecer los propósitos para los cuales serán destinados los datos personales recabados. Por ejemplo; la finalidad de solicitar datos personales académicos y laborales de un postulante es para ejecutar un proceso de reclutamiento eficiente.
Se recomienda separar las finalidades del tratamiento dependiendo del titular de los datos personales, por ejemplo postulantes, colaboradores, clientes, proveedores, etcétera.
Finalidades de transferencia de datos: Si por motivos de negocio u otro tipo de necesidades, la empresa realiza transferencias de datos personales, debes establecer los propósitos de dicho intercambio de información. Así como asegurar que los receptores mantengan la privacidad de los datos, y cumplan con las finalidades establecidas, y no más.
Principios de protección de datos personales: Es importante que la empresa conozca y comprenda los principios de protección de datos personales que debe llevar a cabo, de manera que pueda cumplir con los requisitos normativos, y sobre todo, con las regulaciones y leyes aplicables.
Avisos de privacidad: Aquí debes enlistar los avisos de privacidad que maneje la empresa y dónde se encuentran, de manera que puedan ser encontrados fácilmente para ponerlos a disposición de los titulares de datos personales siempre que sea necesario.
Derechos de los titulares: Se deben establecer los lineamientos pertinentes para garantizar que la empresa pueda atender las solicitudes de los titulares de datos personales para ejercer sus derechos.
Recordemos que los titulares de datos personales tienen derecho para Acceder, Rectificar, Cancelar y Oponerse al uso de sus datos personales, de acuerdo a las legislaciones y disposiciones aplicables. Estos derechos también se conocen como derechos ARCO.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Verifica que lo estipulado en esta política esté alineado a los requisitos regulatorios que le apliquen al país donde opera tu empresa.
Comunica esta política a todos los colaboradores de la empresa que manejen datos personales en sus procesos de trabajo para garantizar que se está cuidando su privacidad y protección.
Se transparente con la información que le brindas al titular de los datos personales, es esencial que proporciones un medio de comunicación adecuado para ellos, y que tus avisos de privacidad sean claros.
Alinea los lineamientos de esta política a lo definido en el Procedimiento de Tratamiento de Datos Personales.
Puede llegar a ser necesario que implementes un Procedimiento de Anonimización de Datos Personales para mantener su confidencialidad.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.