ESTÁNDARES AMEXIPAC

Diagnóstico

Diagnóstico

Como guía auxiliar para todos los Proveedores Autorizados de Servicios que deseen diagnosticar su cumplimiento en materia de protección de datos personales, ponemos a su disposición la siguiente evaluación desarrollada por AMEXIPAC, A.C.

 

 

Evaluación para diagnóstico del cumplimiento en materia de protección datos personales.

Planear, implementar y operar, monitorear y revisar, y finalmente mejorar los siguientes elementos que conforman un programa de protección de datos personales al interior de una organización.

 

  1. Mapear el viaje del dato personal:
    1. Identificar la fuente de obtención de los datos personales derivados de la relación con clientes, proveedores, socios estratégicos, filiales, subsidiarias, empleados y visitantes.
    2. Documentar el tránsito del dato personal dentro de la organización desde su obtención, fases del tratamiento, hasta su resguardo.

  2. Elaborar y poner a disposición del titular de los datos personales el o los Avisos de Privacidad que sean aplicables.  Recomendando su inclusión en los instrumentos legales que se celebren.

    Como pudiesen ser, uno o más de los siguientes:
    1. Aviso simplificado o íntegro,
    2. Avisos dirigidos a distintos grupos de titulares –clientes, proveedores, socios estratégicos, filiales, subsidiarias, empleados, y/o visitantes.
    3. Formatos de aviso de privacidad impreso o digital, o por cualquier otro soporte o medio tecnológico disponible.

  3. Contar con políticas y procedimientos para  la gestión o seguridad de la información que contemple un apartado que hable del tratamiento de datos personales, estás deben de incluir medidas de seguridad administrativas, técnicas y físicas y en su caso técnicas, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado; y que observen los principios de la ley como son:
    1. Licitud: Tratamiento con apego y cumplimiento a la ley.
    2. Consentimiento: Titular otorga consentimiento tácito o expreso para el tratamiento de sus datos.
    3. Calidad: Manejo de datos precisos.
    4.  Finalidad: Objetivos claros para los que se recaba y trata el dato.
    5. Lealtad: Resguardar la privacidad del dato.
    6. Proporcionalidad: Recabar únicamente los datos necesarios para la prestación del servicio.
    7. Responsabilidad: Velar y responder por el tratamiento del dato personal.

  4. Designar, identificar y publicar a una persona, o departamento que se encargue de la protección de datos personales, que tiene las siguientes obligaciones:
    1. Establecer y administrar procedimientos para la recepción, tramitación, seguimiento y atención oportuna de las solicitudes para el ejercicio de los derechos ARCO, así como para la atención de quejas o solicitudes presentadas por los titulares relacionadas con las políticas y/o prácticas de protección de datos personales desarrolladas por la organización, y
    2. Monitorear los avances o cambios legislativos y de estándares de la industria aplicables y normas oficiales en materia de privacidad y protección de datos personales que pudieran impactar en los ejes rectores y acciones desarrolladas en este tema al interior de la organización, haciendo las adecuaciones necesarias.

      Tratándose del fenómeno de la seguridad de la información y la protección de datos personales al interior de la organización, las funciones que se recomiendan son las siguientes:
          1. Diseñar y ejecutar una política y/o prácticas de seguridad de la información y protección de datos personales al interior de la organización, o bien, adecuar y mejorar las prácticas ya existentes en el marco de la Ley;
          2. Alinear esta política y/o prácticas -incluyendo sus objetivos, acciones estratégicas, líneas de acción, asignación de roles y responsabilidades generales y específicas y un procedimiento y plazos de implementación- a los procesos internos de la organización que demanden o aprovechen información con o sin datos personales;
          3. Desarrollar un mecanismo para evaluar la eficacia y eficiencia de esta política y/o prácticas;
          4. Monitorear y evaluar los procesos internos de la organización vinculados con la obtención, uso, explotación, conservación, aprovechamiento, cancelación y transferencia de información y en especial aquella que incluya datos personales, a fin de asegurar que la información sea protegida, tratada conforme a los principios de la Ley y respetada;
          5. Colaborar y coordinar acciones con otras áreas de la organización como la legal, de tecnologías, sistemas, seguridad de la información, mercadotecnia, atención al cliente, recursos humanos, entre otras, a efecto de asegurar el debido cumplimiento de la política y/o prácticas de privacidad en sus procesos internos, formatos, avisos, recursos y gestiones que se lleven a cabo;
          6. Asegurar que la política y/o prácticas de seguridad de la información y de protección de datos personales cumplan con la Ley y demás normatividad aplicable;
          7. Difundir y comunicar la política y/o prácticas de seguridad de la información y de protección de datos personales implementadas al interior de la organización, así como capacitar a todo el personal sobre las mismas;
          8. Fomentar una cultura de seguridad de la información y de protección de datos personales orientada a elevar el nivel de concienciación del personal y terceros involucrados, como encargados, en el tratamiento de información confidencial y aquella que involucre datos personales;
          9. Monitorear el cumplimiento de la política y/o prácticas de seguridad de la información y de protección de datos personales de las sociedades subsidiarias o afiliadas bajo el control de común de la organización o cualquier sociedad del mismo grupo del responsable que opere y le sean aplicables estas prácticas;
          10. Identificar e implementar mejores prácticas relacionadas con la seguridad de la información y de protección de datos personales;
          11. Promover la adopción de esquemas de autorregulación, y
          12. Ser el representante de la organización en materia de protección de datos personales ante otros actores. Designar, identificar y publicar a una persona, o departamento que se encargue de la protección de datos personales, que tiene las siguientes obligaciones:

  5.  Proporcionar capacitación constante en materia de seguridad de la información y de protección de datos personales a todos los recursos humanos que realizan tratamiento de datos y contar con evidencia de dicha capacitación.

  6. Contar con los mecanismos para atender solicitudes de Derechos ARCO:
    1. Acceso: Obtener información sobre el tratamiento de sus datos.
    2. Rectificación: Modificar sus datos inexactos o incompletos.
    3. Cancelación: Suprimir o exigir el cese el tratamiento de datos.
    4. Oposición: Oponerse al tratamiento de los datos.

  7.  Determinar el rol que es aplicable al PAC de acuerdo con su operación de modelo comercial, ya sea  Responsable o Encargado.
    1. Venta directa: Responsable.
    2. Venta indirecta: Encargado.

      Ejemplos: Servicios de certificación a casas de software y/o desarrolladores para su distribución a usuario final, o franquicias.

 

Glosario

Derechos Reservados © 2017 AMEXIPAC, A.C.  |   Aviso Legal  |  Aviso de Privacidad

Diseño por HELLOID

Torre Diana, Río Lerma 232, Piso 23, Col. Cuauhtémoc, Del. Cuauhtémoc, Ciudad de México, C.P. 06500

Teléfono (55) 8000 6575.