miércoles, 6 de diciembre de 2017

Evaluación y revisión continúa para garantizar la pertinencia y eficacia del Programa Integral de Gestión de protección de datos personales

Una evaluación anual permite garantizar que el programa definido sea pertinente para la organización y, preserve la seguridad de los datos personales.





Durante esta serie de entregas se han descrito los elementos mas importantes para implementar el programa Integral de Gestión de protección de datos personales y la necesidad que el mismos haga parte de la cultura empresarial. 

Para garantizar que el programa se preserve en el tiempo se requiere que el Oficial de Protección de Datos, o quien desempeñe su rol, sea responsable de evaluarlo, por lo menos una vez al año, para esto se recomienda:
  1. Desarrollar un plan de supervisión y revisión. 
  2. Evaluar y revisar los controles del Programa a través de un monitoreo continuo. 
Con base en los resultados de la evaluación, el Oficial de Protección de Datos, deberá tomar las acciones que sean necesarias para garantizar que los controles sean pertinentes.


Desarrollar un plan de supervisión y revisión.

Establece las medidas de desempeño e incluye un calendario de cuándo deben ser revisadas las políticas y los controles del programa.

Evaluar y revisar los controles del Programa

Abordar por lo menos las siguientes preguntas:

  • Cuáles son las últimas amenazas y riesgos al tratamiento de datos personales detectados en la organización?
  • Los controles están teniendo en cuenta las nueva amenazas y reflejando las quejas más recientes o los hallazgos de las auditorias, o las orientaciones de la autoridad de protección de datos?.
  • Se están ofreciendo nuevos servicios que involucran una mayor recolección, uso o divulgación de la información personal?.
  • Sobre el programa:
    • Se está llevando a cabo capacitación eficaz?.
    • Se están siguiendo las políticas y procedimientos?
    • El programa se encuentra actualizado?.

Acciones a tomar por parte del Oficial de Protección de datos:

  • Controlar y actualizar continuamente el inventario de datos personales para identificar y evaluar nuevas recolecciones, usos y divulgación.
  • Revisar las políticas siguiendo los resultados de las evaluaciones o auditorias.
  • Mantener históricos de evaluaciones y análisis de amenazas de seguridad.
  •  Revisar y actualizar, en forma periódica, la formación y la educación impartida a todos los empleados (comunicar cambios).
  • Revisar y adaptar los protocoles de respuesta en el manejo de violaciones e incidentes de seguridad.
  • Revisar y, en su caso, modificar los requisitos establecidos en los contratos suscritos con los encargados del tratamiento.
  • Actualizar y aclara la comunicaciones externas para explicar las políticas de tratamiento de datos.
  • Reportar semestralmente al Representante Legal de la empresa la evolución del riesgo, los controles implementados, el monitoreo y, en general, los avances y resultados del programa.

Recuerde el desarrollo de un Programa Integral para la Gestión de Datos Personales es una herramienta fundamental que demuestra el compromiso de la empresa, al tiempo que evita cometer infracciones al régimen de datos personales.

Fuentes: 
Guía de Responsabilidad Demostrada 
Imagen: Pixabay

Recuerden seguirnos en facebook, twitter, linkedIn, somos @bsolutiongroup