Compliance y prevención de infracciones en materia de datos personales
Diseñamos e implementamos modelos de cumplimiento que previenen infracciones y garantizan la correcta protección de los datos personales de su organización.
Diagnóstico
- Auditoría de diagnóstico: análisis completo y pormenorizado que permite fijar una línea base sobre el tratamiento de los datos personales, su protección y el nivel de conocimiento y cumplimiento de las obligaciones legales.
- Identificación de las bases de datos existentes y de los supuestos jurídicos que habilitan su tratamiento, con clasificación del tipo de datos almacenados, las medidas de seguridad aplicables, los niveles de acceso y confidencialidad, y los sujetos responsables y encargados del tratamiento.
- Evaluación de la gobernanza y las responsabilidades internas en el manejo de la información, determinando las áreas a cargo de la revisión legal e informática de las bases de datos y de su seguridad.
- Priorización de riesgos y decisiones de negocio: identificación de la criticidad del tratamiento, los riesgos asociados y las oportunidades derivadas de un manejo jurídicamente correcto de las bases de datos personales.
Implementación
- Elaboración del plan de implementación, que define las tareas concretas que debe ejecutar la institución para satisfacer las exigencias de un modelo de cumplimiento en protección de datos personales.
- Elaboración de documentación legal, protocolos internos y formularios, que orientarán la futura redacción de protocolos, políticas de privacidad, contratos y demás reglamentación de la actividad de la institución..
- Designación de un delegado de protección de datos personales.
- Capacitación de autoridades y trabajadores.
- Revisión de contratos con proveedores y empresas subcontratadas.
- Adopción de políticas y avisos de privacidad.
- Creación de un mecanismo o procedimiento de reporte de fallas de seguridad.
Gestión del Modelo de Cumplimiento
El modelo, la gobernanza y la documentación inicial ya existen. La gestión continua consiste en operarlos de forma permanente, viva y auditable, organizada en cinco grandes ejes.
- Gestión de riesgos y evaluaciones previas mediante la evaluación permanente de riesgos y brechas, las evaluaciones de impacto (EIPD) en tratamientos de alto riesgo y el análisis de interés legítimo (LIA) para justificar y documentar la base de licitud.
- Privacidad desde el diseño con protección incorporada desde la concepción, aplicando los principios de privacidad por diseño y por defecto.
- Relación con titulares e incidentes a través de la atención ágil y documentada de las solicitudes de derechos de los titulares y de la detección, contención y notificación de incidentes de seguridad.
- Gestión de terceros y cultura organizacional con due diligence y encargo de tratamiento en proveedores y contratos, y un plan anual de capacitación, cultura y sensibilización continua.
- Monitoreo y mejora continua mediante el seguimiento del programa con un dashboard de indicadores (KPIs y KRIs) que permite revisar su desempeño y orientar las mejoras.