Guía de Implementación del Marco de Ciberseguridad 5.0

PD.7 Principio de responsabilidad proactiva

Requisito PD.7Principio de responsabilidad proactiva
Objetivo

Garantizar la seguridad en el tratamiento de datos por medio de medidas proactivas tomadas por el delegado de protección de datos personales de la organización.

En el ejercicio de una responsabilidad proactiva se deben adoptar medidas técnicas y organizativas apropiadas con el fin de garantizar un tratamiento adecuado de los datos y demostrar su efectiva implementación.

Controles

Nivel 1

  • PD.7-1: la organización ha definido criterios para incorporar medidas de privacidad por diseño y por defecto en la construcción o mejora de procesos, servicios o sistemas.

Nivel 2

  • PD.7-2: el delegado de protección de datos personales asesora en el diseño e implementación de medidas técnicas y organizativas destinadas a incorporar los principios de privacidad por diseño y por defecto en la organización.

Nivel 3

  • PD.7-3: ante cambios en procesos, sistemas o incidentes de seguridad, se revisa de forma reactiva la efectividad de las medidas implementadas para garantizar la incorporación de los principios de privacidad por diseño y por defecto en la organización.

Nivel 4

  • PD.7-4: se revisa periódicamente la efectividad de las medidas destinadas a incorporar los principios de privacidad por diseño y por defecto en la organización.
  • PD.7-5: las revisiones dan lugar a ajustes de las medidas técnicas implementadas.
Guía de implementaciónLa organización debe adoptar una postura proactiva en la implementación de medidas técnicas y organizativas apropiadas, como privacidad desde el diseño, privacidad por defecto, evaluación de impacto a la protección de datos, entre otras, a fin de garantizar la seguridad y el tratamiento adecuado de los datos personales. Además, debe documentar estas medidas y su efectiva implementación para demostrar el cumplimiento de las normativas de protección de datos, asegurando así la privacidad y los derechos de los titulares de los datos en todo momento.
Instituciones de saludNo aplica
Instituciones Emisoras de Dinero Electrónico (IEDE)No aplica
Guía de evidencia para auditoría
  • Evidencia de controles implementados para cumplir con los principios de privacidad desde el diseño y privacidad por defecto.
  • Evaluación de impacto a la protección de datos para los nuevos sistemas que manejan datos personales.
  • Designación y comunicación de delegados si corresponde.
Normativa asociada
  • Ley N° 18.331: Protección de datos personales y habeas data
  • Normativa complementaria y concordante.

Etiquetas