Guía de Implementación del Marco de Ciberseguridad 5.0

PD.2 Principio de Veracidad

Requisito PD.2Principio de Veracidad
ObjetivoGarantizar que los datos personales recolectados estén actualizados, sean veraces, adecuados, ecuánimes y relevantes para la finalidad.
Controles

Nivel 1

  • PD.2-1: se cuenta con mecanismos para recibir solicitudes expresas de los titulares de corrección manual de datos personales.
  • PD.2-2: la organización establece qué datos personales son necesarios para cada trámite o servicio, y limita su recolección únicamente a esa información.

Nivel 2

  • PD.2-3: se lleva un registro documentado de todas las solicitudes recibidas por parte de los titulares de datos personales, relativas a la actualización, eliminación o rectificación de sus datos, incluyendo el plazo en que cada solicitud fue atendida.
  • PD.2-4: cuando el titular de los datos personales se encuentra presente, se procede a validar la exactitud de los datos y, en caso de corresponder, se actualizan los datos en los sistemas correspondientes en ese mismo momento.

Nivel 3

  • PD.2-5: los sistemas implementan funcionalidades que requieren a los usuarios la revisión y validación periódica de sus datos personales, con el objetivo de identificar y corregir información inexacta o desactualizada.
  • PD.2-6: los sistemas que gestionan datos personales registran las modificaciones realizadas, incluyendo la fecha del cambio y la identidad del usuario que lo efectuó.
Guía de implementación

La organización debe garantizar que la recopilación de datos personales se limite estrictamente a la información relevante y necesaria para su fin. Es fundamental que los datos recolectados sean siempre veraces, pertinentes, ecuánimes (imparciales) y proporcionados en relación con la finalidad de su obtención. Un claro ejemplo de recolección excesiva sería la solicitud de preferencias políticas para la afiliación a un club deportivo.

La normativa establece que, al detectarse la inexactitud o falsedad de los datos personales, el responsable debe proceder a suprimirlos, sustituirlos o completarlos según corresponda a cada caso. Para ello, es esencial realizar revisiones en los sistemas o programas relevantes, con el fin de identificar y actualizar cualquier dato personal que resulte inexacto o desactualizado, manteniendo así el compromiso con el principio de veracidad de los datos personales. A modo de ejemplo, en el caso de que una persona desee actualizar su estado civil en una base de datos privada tras un cambio, debe presentar prueba fehaciente de este cambio y el responsable de la base debe proceder con la actualización de la información correspondiente.

Se deberán tener registradas las actualizaciones realizadas en la información, para en caso de tener que recurrir a un respaldo de información, poder reaplicar el cambio en caso de requerirse.

Instituciones de salud

Con la excepción de situaciones de emergencia, los datos deberán recabarse directamente del usuario para garantizar su veracidad.

El paciente tiene derecho a estar informado sobre los nombres, cargos y roles de todos los trabajadores de la salud involucrados en su cuidado. La institución debe publicar la nómina de los profesionales activos en el ámbito de la salud, incluyendo sus nombres, especialidades y cualquier otro dato relevante, junto con sus días y horarios de consulta.

Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Listado de bases de datos con datos personales.
  • Listado de sistemas que dan soporte a las bases de datos personales.
  • Evidencia de análisis de la necesidad de la recolección de los datos personales para el fin y/o fundamento legal de la información tratada.
  • Evidencia de verificación y/o actualización de datos personales.
Normativa asociada
  • Ley N° 18.331: Protección de datos personales y habeas data.
  • Ley N° 18.335: Derechos y obligaciones de pacientes y usuarios de los servicios de salud.
  • Normativa complementaria y concordante.

Etiquetas