Sistema de Gestión de Seguridad de Datos Personales SGPD

Fases de la implementación del SGSDP

Todas las fases se deben de realizar en conjunto con el responsable de los datos y deben de estar respaldados por la alta dirección, ya que son los indicados para respaldar la creación e implementación del SGSDP

Planear

Establecer el alcance y los objetivos: Se deben definir los objetivos del sistema de gestión, así como identificar el contexto de los datos y el tratamiento que recibirán, se debe considerar las entidades con las que se comparten los datos, su almacenamiento, los procesos de tratamiento y destrucción, y los requerimientos legales.

Elaborar la política de gestión de datos: Se debe de elaborar una política que considere las necesidades de la organización, los procesos de datos personales, y el compromiso de cumplir de cumplir con la legislación vigente. La política debe de describir la manera en que se tratarán los datos personales.

Establecer Obligaciones: Se deben asignar obligaciones y roles a cada persona que trate datos personales, darles a conocer sus funciones y verificar que cada integrante de la organización conozca sus obligaciones en materia de datos personales.

Elaborar inventario de datos personales: se deben de identificar los datos personales que se manejarán, así como su ciclo de vida así como la clasificación de sensibilidad de cada dato.

El ciclo de vida consta de:

  • Obtención
  • Uso
  • Divulgación
  • Almacenamiento
  • Bloqueo
  • Cancelación o supresión

La clasificación puede ser la siguiente:

  • Nivel estándar
  • Nivel sensible
  • Nivel especial

Estos niveles se asignarán dependiendo del daño que pueda causar al titular del dato en caso de daño o pérdida

Realizar análisis de riesgo de datos personales: El análisis de riesgo sirve para calcular el impacto que pueda tener la probabilidad de ocurrencia de un evento que pueda afectar un dato personal unido a la clasificación del dato.

Identificar las medidas de seguridad: Con base en el análisis de riesgo, se deben encontrar medidas administrativas, técnicas y físicas para tratar de disminuir el riesgo. Después se debe de realizar un análisis de brecha[1], para comparar el riesgo antes y después de la medida de seguridad.

Hacer

Implementación de medidas de seguridad

Se deben de implementar las medidas de seguridad, dando prioridad a las que ayuden a evitar la mayor cantidad de riesgo.

Se debe de nombrar a un responsable para la protección de datos personales, que deberá velar por el cumplimiento de las políticas.

Se debe de realizar también un plan de trabajo para implementar las medidas de seguridad faltantes, porque en ocasiones el presupuesto no es suficiente para implementar todas las medidas necesarias, pero éstas se deben de implementar.

Verificar

Se deben de realizar los ajustes necesarios para que las medidas de seguridad sean siempre las correctas, realizar evaluaciones periódicas de los riesgos y asegurar la correcta aplicación de las medidas de seguridad actuales. Esto se verifica realizando auditorías continuas.

También se debe de verificar si han existido vulneraciones de seguridad, y realizar un plan para corregirlas.

Actuar

La ultima fase del Sistema de Gestion de Seguridad de Datos Personales es mejorarlo, tomar todos los ajustes identificados en las fases anteriores, analizarlos para poder iniciar de nuevo el proceso completo.

Se den también realizar ampañas de concientización y capacitación a todos los integrantes de la empresa para poder aplicar correctamente las medidas de seguridad del SGSDP.

Referencias

[1] http://soda.ustadistancia.edu.co/enlinea/Tercer%20Momento%20-%20Gerencia%20Estrategica/anlisis_de_brechas.html