Manual Cumplimiento Legal

Manual Nymity para Demostrar el Cumplimiento Legal:
una aproximación estructurada a la gestión de protección de datos
© Nymity Inc. 2016. Este documento está basado en la investigación de Nymity. El contenido de este
documento se pone a disposición únicamente para propósitos educativos y no está concebido como, ni
constituye asesoría legal. Adicionalmente, la aplicación de las aproximaciones a la gestión de datos personales
que se presentan en este documento no constituye garantía de cumplimiento.
Si usted requiere asesoría legal, debe consultar con un abogado, Nymity se reserva todos los derechos sobre
este documento, incluyendo el derecho de autor y cualquier otro derecho de propiedad intelectual. Usted
puede utilizar este documento para sus propios propósitos. Este documento puede ser libremente
redistribuido en su totalidad, siempre y cuando las marcas, logos y la indicación del derecho de autor de
Nymity no sean retirados. Este documento no puede ser vendido con fines de lucro ni usado en documentos
comerciales sin la autorización por escrito de Nymity.
Tabla de contenidos
Introducción .............................................................................................................................................................3
Sección 1: Demostrar el Cumplimiento Legal……………………………………………………………………………………………………..4
Incentivos para Demostrar el Cumplimiento Legal ..............................................................................................4

Objetivos para demostrar el Cumplimiento Legal ................................................................................................5
Aproximación al Cumplimiento Legal basada en un estándar de Responsabilidad Demostrada ........................6
¿Cómo demostrar el cumplimiento legal usando una aproximación basada en la responsabilidad
demostrada?.........................................................................................................................................................8
Sección 2: Demuestre la Responsabilidad Demostrada y el cumplimiento legal .................................................. 13
Sección 3: Guía de configuración del Accountability Scorecard ........................................................................... 16
Estructura del Scorecard ................................................................................................................................... 16
Identifique y categorice las Actividades de Gestión de Información ................................................................ 16
Configure el Cuaderno de Evidencias ................................................................................................................ 18
Recoja la Evidencia de los Dueños..................................................................................................................... 20
El Score de Protección de Datos se calcula de manera automática .................................................................. 20
Gestión permanente del Scorecard................................................................................................................... 21
Apéndice A: Fundamentos de la Gestión Estructurada de Protección de Datos .................................................. 23
Manual para Demostrar el Cumplimiento Legal: 2 Copyright© 2016 Nymity Inc.

Introducción
Demostrar el cumplimiento legal en materia de protección de datos personales implica mostrar cómo la
organización cumple con los requerimientos legales, la regulación aplicable, las políticas o cualquier otro
compromiso organizacional tal como un aviso de protección de datos o un código de conducta (Reglas). Este
manual ofrece una introducción a una aproximación a la demostración del cumplimiento legal desde la
perspectiva de la responsabilidad demostrada (accountability) y ofrece instrucciones detalladas sobre cómo
hacerlo. Demostrar el cumplimiento legal desde una aproximación basada en estándares de responsabilidad
demostrada va un paso más allá de la simple demostración de cómo se han alcanzado las metas de
cumplimiento legal; le permite a la organización demostrar cómo se alcanzaron dichos requerimientos y
demuestra la existencia de una gestión estructurada en protección de datos que permite el cumplimiento
legal continuado. En otras palabras, que el cumplimiento legal sea un resultado proactivo y estratégico y no
un simple ejercicio de completar una lista de chequeo.
Desde hace varios años, Nymity ha adelantado investigaciones concretas y observado la implementación y
desarrollo de programas de protección de datos personales en organizaciones alrededor del mundo, de
diversos tamaños, y en todas las diferentes industrias1. Gran parte de nuestras investigaciones se han
enfocado en medir y reportar sobre el estado del cumplimiento legal y la responsabilidad demostrada.
Hemos sostenido conversaciones con oficiales de protección de datos, formuladores de políticas públicas y
autoridades de protección de datos para identificar los factores críticos de éxito para demostrar
efectivamente la responsabilidad. Un resultado clave de estas investigaciones ha sido que entre muchas
aproximaciones, la más efectiva, estructurada y escalable es que el área de protección de datos utilice una
aproximación basada en responsabilidad demostrada para demostrar el cumplimiento legal.
Demostrar el cumplimiento legal en materia de protección de datos es más efectivo cuando resulta de un
diálogo y no de una afirmación binaria de “cumplimiento” o “no cumplimiento”. Esto es así puesto que, a
diferencia de otros tipos de cumplimiento legal, la protección de datos requiere una aproximación basada en
contexto; no existe una repuesta simple. La gestión efectiva en materia de protección de datos está
soportada en la interpretación de los requerimientos, la valoración del riesgo y otros factores subjetivos. Eso
no significa que no exista una respuesta correcta; sí existe una respuesta correcta pero para llegar a esta se
requiere un diálogo sobre el contexto. La investigación de Nymity ha llevado a la conclusión de que la mejor
forma de demostrar el cumplimiento legal es que el oficial de protección de datos articule los factores
subjetivos y objetivos que influencian las decisiones y los resultados. El oficial de protección de datos está en
la mejor posición para entender y poder articular el cumplimiento legal en el contexto de:
 Las reglas de protección de datos;

 El negocio y las prácticas de tratamiento de datos de la organización;
 Cómo la gestión de datos está articulada en toda la organización, y
 El potencial riesgo para los titulares y para la organización.
Este manual detalla la forma en que el área de protección de datos puede demostrar el cumplimiento legal
mediante la Contextualización de evidencia frente a las reglas aplicables. También provee una guía para
recoger evidencia de manera efectiva y reportar las mediciones cuantitativas utilizando una hoja de cálculo
1
Nymity es una compañía de investigación fundada en 2002 y parcialmente financiada por el gobierno de Canadá. La
investigación de Nymity se centra en el cumplimiento legal en materia de protección de datos, la responsabilidad
demostrada, el riesgo y las practicas éticas. Desde 2009 Nymity ha venido adelantando investigaciones en cómo
demostrar el cumplimiento legal y la responsabilidad demostrada.
de Microsoft Excel® denominada Scorecard Nymity de Protección de Datos y Responsabilidad
Demostrada™2.
Sección 1: Demostrar el Cumplimiento Legal

Compliance
Incentivos para Demostrar el Cumplimiento Legal
Las leyes y los esquemas modernos de protección de datos requieren la demostración de cumplimiento
frente a las reglas de protección de datos3 y se espera que esta tendencia continúe en la medida que el
panorama regulatorio global mantenga su tendencia de alinearse entre sí. Hay una serie de motivaciones
para demostrar el cumplimiento legal incluyendo:
1. Reglamento General de Protección de Datos de la UE4
La demostración del cumplimiento legal aparece múltiples veces en el Reglamento europeo:
Artículo 5: Principios relativos al tratamiento de datos personales
El parágrafo 1 describe los principios de protección de datos a los que se debe adherir el
tratamiento de datos personales: lícito, justo y transparente, finalidad, minimización de datos,
veracidad, límites al almacenamiento, e integridad y confidencialidad. El parágrafo 2 establece
que "el responsable responderá por y estará en capacidad de demostrar el cumplimiento con el
parágrafo 1 (‘accountability’).”
Artículo 22: Responsabilidad del Responsable

“Tomando en cuenta la naturaleza, alcance, contexto y propósitos del tratamiento así como los
riesgos (…) para los derechos y libertades de los individuos, el responsable deberá adoptar
medidas técnicas y organizacionales adecuadas para asegurar y estar en capacidad de
demostrar que el tratamiento de datos personales se está llevando a cabo en cumplimiento de
este Reglamento (...)”.
El reglamento europeo (RGPD) entra a regir en 2018, momento en el cual las organizaciones que
operan en Europa (o fuera de Europa pero que llevan a cabo tratamientos de datos personales
de ciudadanos europeos) estarán obligadas a cumplir con el Reglamento.
2
En 2014 Nymity puso a disposición una hoja de cálculo gratuita de Microsoft Excel® denominada Scorecard Nymity de
Protección de Datos y Responsabilidad Demostrada ™ que fue el resultado de la investigación de Nymity sobre
demostración de estándares de responsabilidad demostrada. La segunda generación del Scorecard que se introduce en
este manual se puede encontrar en www.nymity.com/pmaf.
3
Reglas: Requerimientos contenidos en una ley, regulación, política, orden, o en otro compromiso tal como un aviso de
privacidad o un código de conducta.
4
Texto acordado del Reglamento General de Protección de Datos de la UE, publicado el 15 de diciembre de 2015.

2. Mecanismos de Transferencias Internacionales de Datos
En aquellos casos en que las transferencias de datos están restringidas por una ley o una
regulación, las organizaciones tienen una serie de opciones para transferir información personal
En la medida que las transferencias se vuelven más complejas, muchas compañías optan por
enlistarse en esquemas voluntarios como las Normas Corporativas Vinculantes (NCV), el Sistema
de Reglas de Flujo Transfronterizo de APEC (CBPR, por sus siglas en inglés), y el Escudo de la
Privacidad de UE – EE.UU (EU-US Privacy Shield). Estos programas requieren que la organización
se comprometa a tratar los datos personales de conformidad con los requerimientos de
transferencia del respectivo país o jurisdicción, inclusive cuando se transfieran a países con
requerimientos menos restrictivos o incluso inexistentes. Los requerimientos para demostrar el
cumplimiento legal varían entre los distintos programas pero en todos los casos la organización
debe estar en capacidad de demostrar que está honrando sus compromisos.
3. Alcanzar las expectativas de las autoridades de protección de datos
Como se explicó antes, algunas leyes de protección de datos están evolucionando en el sentido
de exigir la demostración del cumplimiento legal. En algunos casos, la ley no ha cambiado, pero
la autoridad de protección de datos ha expedido guías y ha manifestado su expectativa de que
las organizaciones estén en capacidad de demostrar el cumplimiento legal. Las autoridades de
protección de datos en Canadá, Hong Kong, Colombia y Australia han publicado guías5 en ese
sentido. Las organizaciones responsables asumen estas guías como un requerimiento legal, y
entienden que no cumplirlas puede traer consigo consecuencias negativas.
En la medida que los datos personales se incorporan más en todos los aspectos de las
operaciones de las compañías, éstas están recibiendo más atención de otras autoridades, como
las financieras y de telecomunicaciones, así como de los sindicatos y organizaciones de
trabajadores. Los oficiales de protección de datos tendrán que estar en capacidad de demostrar
cómo sus usos de datos personales no solo cumplen con las leyes de protección de datos sino
también con la legislación relacionada con esta.
Objetivos para demostrar el Cumplimiento Legal

Este manual ofrece instrucciones paso a paso para demostrar el cumplimiento legal basado en una
aproximación de responsabilidad demostrada. El objetivo de usar una aproximación basada en
responsabilidad demostrada es que el área de protección de datos puede contestar la pregunta: cómo
5
Australia, Marco de Gestión de Protección de Privacidad: facilitando el cumplimiento y asegurando las
buenas practicas , www.oaic.gov.au/agencies-and-organisations/guides/privacy-management-framework
Canadá, Entendiendo la Responsabilidad Demostrada con un Programa de Protección de Datos
https://www.priv.gc.ca/information/guide/2012/gl_acc_201204_e.pdf
Colombia, Guía para la Implementación del Principio de Responsabilidad Demostrada

http://www.sic.gov.co/drupal/recursos_user/documentos/noticias/Guia_Accountability.pdf
Hong Kong, Programa de Gestión de Privacidad, Una guía de mejores prácticas
https://www.pcpd.org.hk/pmp/files/PMP_guide_e.pdf

cumple la organización con los requerimientos de la ley de protección de datos, la regulación, política u
otros compromisos tales como el aviso de privacidad o el código de conducta? Nótese la sutil diferencia
entre ¿cómo cumple la organización? y ¿la organización cumple? con todos los requerimientos. La primera
es una pregunta más amplia, abierta, sobre la infraestructura del programa de protección de datos
(responsabilidad demostrada) mientras que la segunda es una pregunta de sí o no sobre el estado actual
(cumplimiento).
Dada la naturaleza dinámica de los negocios, la tecnología y la ley, no resulta práctico aproximarse a a la
gestión de protección de datos con el objetivo de reportar sobre el estado definitivo del cumplimiento en un
momento determinado en el tiempo. Incluso los métodos tradicionales como las auditorías o las
evaluaciones no buscan determinar el estado definitivo del cumplimiento en toda la organización. Las
auditorías y evaluaciones revisan una muestra representativa de eventos pasados, y un tercero saca
conclusiones acerca de la probabilidad de que haya habido cumplimiento dado los resultados entregados
por la muestra. Este tipo de monitoreo es un componente de la aproximación basada en responsabilidad
demostrada (Categoría de Gestión de Datos #12: Monitoree las Prácticas de Manejo de Datos) y cuando se
combina con las otras doce categorías, ofrece un panorama más completo de la gestión permanente en
materia de protección de datos.
Aproximación al Cumplimiento Legal basada en un estándar de Responsabilidad Demostrada

Demostrar el cumplimiento legal con base en un estándar de responsabilidad demostrada va un paso más
allá de simplemente mostrar que los requerimientos de cumplimiento han sido alcanzados; le permite a la
organización demostrar cómo se alcanzaron dichos requerimientos y pone de presente la existencia e
implementación de una gestión estructurada de protección de datos que permite el cumplimiento continuo.
En otras palabras, que el cumplimiento legal es un resultado proactivo y estratégico y no un ejercicio de
llenar una lista de chequeo.
La organización ha adoptado un verdadero estándar de responsabilidad demostrada cuando tres

componentes se encuentran presentes6:
 Responsabilidad: las actividades de gestión de información7 apropiadas se han implementado y se

mantienen de manera constante. Las actividades de gestión de información apropiadas se
determinan con base en los requerimientos de cumplimiento, perfil de riesgo, objetivos de negocio y
el contexto del tratamiento de datos (tipo de datos tratados, naturaleza del tratamiento, finalidades
de la recolección, uso, etc.).
 Control: Las actividades de gestión de información están implementadas en toda la organización. En
la mayoría de los casos, el área de protección de datos trata muy pocos datos personales (si es que
lo hace). Como tal, para que la gestión de protección de datos sea efectiva, debe ser implementada
dentro de cada función o unidad de negocio que lleva a cabo tratamientos de datos personales.
 Evidencia: cuando las actividades de protección de datos están siendo mantenidas, se produce
documentación. Esa documentación se puede usar como Evidencia de la responsabilidad
demostrada y del cumplimiento legal. La evidencia puede ser formal (ej. políticas, procedimientos) o
informal (ej. comunicaciones, flujos de trabajo). Cuando se usa una aproximación de responsabilidad
demostrada, la Evidencia siempre será un sub-producto de la actividad de gestión de información,
6
Para una mayor discusión sobre los components de la For further discussion on the components of accountability, please refer to
Appendix A: Fundamentals of Structured Privacy Management.
7 Nymity considers privacy management activities are ongoing procedures, policies, measures, mechanisms, and other initiatives that impact the
processing of personal data or that relate to compliance with privacy and data protection laws.

esto es, la Evidencia no se produce por el simple hecho de producirla sino que es el resultado de una
actividad.
El siguiente ejemplo ilustra la diferencia entre una aproximación de responsabilidad demostrada y una
aproximación tradicional de cumplimiento legal:
Ejemplo: Incidente de seguridad/brecha de datos personales
En muchas jurisdicciones, se requiere que las organizaciones le reporten a la Autoridades de

Protección de Datos y le notifiquen a los titulares en la eventualidad de que se produzca un
incidente de seguridad o una brecha de información. Para cumplir con las leyes vigentes sobre
brechas, debe haber ocurrido un incidente de esta naturaleza (de otra manera no será posible
reportar o notificar). Técnicamente, una organización puede estar cumpliendo con la ley si se
esperan hasta tener conocimiento de un incidente, y luego reaccionan a este en consecuencia.
Sin embargo, la mayoría de las organizaciones entienden el riesgo y el impacto de un incidente y en

esa medida se esfuerzan por estar preparadas y de esa manera actuar conforme a un estándar de
responsabilidad demostrada. Implementan actividades de gestión de información tales como planes
de respuesta a incidentes/brechas de protección de datos, pruebas periódicas de los planes,
involucrar a un proveedor de respuesta a incidentes e implementar otras actividades. Las
organizaciones mantienen estas actividades incuso sin que haya ocurrido un incidente. También
entrenan a sus empleados en cómo identificar las brechas y mantienen mediciones de los incidentes
y de las razones de fondo para identificar patrones y tendencias que puedan indicar un problema
sistémico. La organización que tiene estándares de responsabilidad demostrada se encuentra mejor
preparada para lidiar de manera efectiva con la brecha o el incidente y para minimizar el impacto a
sus titulares y a la organización. Por ejemplo, una aproximación responsable gestión de incidentes
puede incluir:
 Responsabilidad /Control: el Área de Protección de Datos establece los planes de respuesta a

incidentes, realiza pruebas sobre el plan, provee entrenamiento a los empleados, registra las
mediciones y ayuda a gestionar el proceso de reportes y notificaciones. Las unidades operativas
identifican y escalan los incidentes de acuerdo con el plan y ayudan con las respuestas y las
medidas de control.
 Evidencia: plan de respuesta a incidentes, registros de las pruebas hechas al plan, registros de las
brechas, reportes de las brechas e incidentes, mediciones, evidencia de los reportes y
notificaciones.
Ejemplo: Retención de datos
La mayoría de los marcos de protección de datos contienen el requerimiento de que los datos
personales solo se retengan por el tiempo que resulte adecuado con base en el propósito para el
cual fueron recolectados. Una organización relativamente joven puede cumplir fácilmente con este
requerimiento. Por ejemplo, si la organización solo ha estado recolectando información personal por
dos años, pueden justificar estar reteniéndola por ese periodo de tiempo para la mayoría de los
propósitos.
Una organización con un estándar de responsabilidad demostrada, sin embargo, mantiene políticas,
procedimientos y mecanismos para gestionar proactivamente sus tablas de retención de registros.
Esto les ayuda a cumplir de manera permanente así como a racionalizar sus decisiones de cuando
retener o destruir la información. Los convierte en organizaciones con un estándar de

responsabilidad demostrada. Por ejemplo, una organización con un estándar de responsabilidad
demostrada puede incluir:
 Responsabilidad/control: El Área de Protección de Datos analiza los requerimientos de las

leyes y regulaciones de protección de datos, entiende las finalidades para las cuales se
recogió la información personal así como los requerimientos relacionados tales como los de
naturaleza laboral, financiera, tributaria u otros y provee insumos a las tablas de retención
documental que muy seguramente son gestionadas por los dueños de los sistemas o los
procesos, Las unidades operativas ejecutan las tablas mediante la configuración de los
sistemas de forma tal que la información se archive o se borre con base en su clasificación, o
manejan de forma manual los registros destruyendo la información de forma segura con
base en las tablas de retención.
 Evidencia: políticas de protección de datos, procedimientos de clasificación de información,
tablas de retención, evidencias de configuración de los sistemas y calendarios de archivo.
Los ejemplos de incidentes de seguridad y de retención de datos expuestos sirven para ilustrar las
diferencias entre una aproximación basada en estándares de responsabilidad demostrada y una más
tradicional basada en cumplimiento legal. Los ejemplos sirven para mostrar cómo una aproximación basada
en implementar una gestión estructurada de protección de datos es una aproximación estratégica y es la
mejor manera de asegurar un cumplimiento legal continuado.
¿Cómo demostrar el cumplimiento legal usando una aproximación basada en la

responsabilidad demostrada?
Paso 1: Pruebe la Responsabilidad Demostrada mediante la recolección de evidencia generada por el
despliegue de Actividades de Gestión de Información
La Responsabilidad (mantener las actividades de gestión de información apropiadas) y el Control (distribuir

las actividades de gestión de información a lo largo de toda la organización) son componentes de la gestión
estructurada de protección de datos. Cuando estos dos componentes se implementan, la Evidencia se
genera como un subproducto de mantener las actividades de gestión de información y el área de protección
de datos tiene todos los elementos que requiere para probar la responsabilidad demostrada y después ir un
paso más allá para demostrar el cumplimiento legal.
El área de protección de datos prueba la responsabilidad demostrada mediante la recolección de Evidencia

de las actividades de gestión de información desplegadas y activas en la organización y demuestra el
cumplimiento legal mediante la Contextualización de la Evidencia a una serie de Reglas (requerimientos
legales, regulaciones, políticas u otros compromisos tales como un aviso de privacidad de un código de
conducta).
El área de protección de datos puede usar el Cuaderno de Evidencias8 para acelerar el proceso de
recolección de evidencias de los Dueños de las actividades de gestión de información a través de toda la
organización.
8
Es la hoja de cálculo principal en la herramienta gratuita de MS Excel denominada Scorecard Nymity de Protección de
Datos y Responsabilidad Demostrada, disponible en www.nymity.com/pmaf.
Por favor vaya a la Sección 3: Guía de configuración del Scorecard para obtener más detalles sobre cómo
usar el Cuaderno de Evidencias y el Scorecard Nymity de Protección de Datos y Responsabilidad
Demostrada™ que se genera automáticamente cuando el Cuaderno de Evidencias ha sido terminado y que
además puede usarse para reportar sobre el estado del programa de protección de datos.
Paso 2: Demuestre el cumplimiento legal mediante la Contextualización de la evidencia
Usando el Cuaderno de Evidencias, el Área de Protección de Datos ha creado un índice de la documentación

necesaria para demostrar el cumplimiento. El siguiente paso es contextualizar esa evidencia a los
requerimientos específicos.
La protección de datos no es una tarea sencilla, es contextual por naturaleza y muchas veces está sujeta a
interpretación y juicios de valor. No existe ninguna lista de chequeo estándar que una organización pueda
usar para estar en capacidad de afirmar “estamos cumpliendo”; depende de una cantidad de factores, p. ej.
el contexto. Para poder articular la manera como las actividades de tratamiento de datos de la organización
se están llevando a cabo de conformidad con las Reglas (para demostrar el cumplimiento legal), uno debe
entender las actividades en sí mismas, las motivaciones subyacentes, la forma en que las reglas son o no
aplicables y otra cantidad de factores. La investigación de Nymity ha demostrado que los oficiales de
protección de datos están en una posición privilegiada para demostrar el cumplimiento legal. Esto es así
principalmente porque los oficiales de protección de datos tienen la experiencia para interpretar los
requerimientos y los conocimientos para entender cómo se aplican a cada tipo de tratamiento; en otras
palabras, entienden y pueden explicar el contexto de dicho cumplimiento legal.
El contexto en protección de datos incluye:
1. Reglas9
Las organizaciones en muchas jurisdicciones están requeridas a cumplir con leyes y regulaciones
de protección de datos personales. Adicionalmente, muchas veces deben cumplir con políticas o
con otros compromisos tales como avisos de privacidad o códigos de conducta. Estas fuentes de
cumplimiento son referidas aquí como fuentes de Reglas y los requerimientos en sí mismos
como Reglas. El oficial de protección de datos entiende las Reglas y en esa medida está en
capacidad de contextualizar la manera como se aplican a cada tipo de tratamiento.
2. Prácticas en el Tratamiento de Datos

El oficial de protección de datos entiende las prácticas de la organización que involucran
tratamiento de datos personales, incluyendo las operaciones del negocio y las funciones del
back office tales como recursos humanos, mercadeo y finanzas. En la medida en que trabaja con
las partes interesadas a lo largo de la organización, el oficial de protección de datos está en
capacidad de entender y proveer contexto para la forma en que las Reglas se aplican a las
prácticas de la organización.
3. Gestión de protección de datos

El oficial de protección de datos entiende las actividades de gestión de información que se han
implementado a lo largo de la organización y entiende también cómo estas se mantienen.
Muchas decisiones relacionadas con gestión de protección de datos están influenciadas por las
9
Reglas: Requerimientos de una ley, regulación política u otro compromiso tal como un aviso de privacidad o un código
de conducta.
Reglas y por cómo se aplican al tratamiento de datos personales; en esa medida, explicar esas
decisiones es un elemento clave de cómo proveer contexto.
4. Riesgo de protección de datos

El oficial de protección de datos entiende el riesgo de daño a los titulares y a la organización10.
Además, puede explicar cómo el riesgo de protección de datos influenció la decisión sobre qué
actividades de gestión de información implementar y por qué. Con relación al riesgo de
protección de datos, otro elemento del contexto es la decisión de priorizar una actividades de
mitigación de riesgo sobre otra cuando los recursos son limitados.
Para algunas actividades de gestión de información, es obvio como la Evidencia puede usarse para
demostrar el cumplimiento legal. Por ejemplo, si una Regla requiere que un aviso de privacidad contenga
ciertos elementos11, es fácil acceder al aviso de privacidad y determinar si dichos elementos se encuentran
presentes. El oficial de protección de datos no tendría la necesidad de contextualizar la Evidencia. En otros
casos, esto no es tan obvio. Por ejemplo, las Reglas muchas veces requieren que la información personal no
sea tratada para finalidades distintas a aquellas para las cuales fue recogida. En este caso, la Evidencia puede
incluir políticas y guías donde se instruya a los empleados sobre este requisito. Estos documentos serán
fácilmente vinculables a la Regla, y serán un buen comienzo, pero no serán suficientes. Estos demuestran
que las guías se expidieron pero no que haya sido seguida. Para demostrar que la protección de datos está
efectivamente integrada a la organización, el área de protección de datos podría mostrar que se requieren
Evaluaciones de Impacto de Privacidad (PIAs) para cualquier recolección o uso nuevo de datos personales12 y
que parte de dicho PIA incluye identificar la finalidades originales de recolección para determinar si ese uso
todavía es consistente. Esta Evidencia probablemente requiere ser contextualizada .
El siguiente ejemplo ofrece una explicación más profunda sobre cómo puede contextualizarse la Evidencia
para responder a la pregunta ¿Cómo cumple la organización con la Reglas?
El oficial de protección de datos puede querer demostrar cómo el equipo de telemercadeo dentro de un call
center cumple con el requerimiento de obtener el consentimiento para recolectar y usar los datos con la
finalidad de vender un producto. El oficial de protección de datos puede usar la documentación existente de
derivada de la gestión de protección de datos (i.e Evidencia) y proveer contexto para demostrar el
cumplimiento legal de la siguiente manera:
Actividad de Gestión de Información: Mantenga una política de protección de datos

personales13
Evidencia: Política de protección de datos personales

La política de protección de datos contiene una provisión que indica que la organización debe
obtener el consentimiento para todos los tipos de tratamiento de datos.
Contexto: Reglas, Tratamiento de datos, Gestión de Protección de Datos
10 Lleve a cabo una evaluación corporativa de riesgo en materia de protección de datos en 1. Mantenga una estructura de gobernanza en el Marco
Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.
11 Mantenga un aviso de privacidad que detalle las prácticas de la organización en el manejo de datos personales en 8.Mantenga avisos de privacidad
en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.

12
Mantenga guías y formatos para las Evaluaciones de Impacto de Privacidad en 10. Monitoree las nuevas prácticas operacionales en el Marco
Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.
13 Mantenga una política de protección de datos personales en 3. Mantenga una política de Protección de Datos en el Marco Nymity de Gobernanza
en Privacidad y Protección de Datos Personales™.

Habiendo identificado el call center como el punto de recolección de datos personales, así
como el uso [Tratamiento de Datos], el área de protección de datos determina que se requiere
el consentimiento. La política de protección de datos es una actividad de gestión de
información que fija las expectativas para la obtención del consentimiento [Reglas, Gestión de
Protección de Datos].
Evidencia: Materiales de entrenamiento en protección de datos

El currículo general de entrenamiento en protección de datos para todos los empleados con
acceso a información personal14 contiene guías específicas para la obtención del
consentimiento, y el entrenamiento específico para los empleados del call center15 contiene
lineamientos más específicos sobre cómo y cuándo obtener y registrar el consentimiento
cuando se están recolectando datos personales.
Contexto: Gestión de Protección de Datos

El área de protección de datos puede mostrar que mediante el uso de los entrenamientos
generales y específicos, se refuerza la necesidad de obtener el consentimiento y estos además
se comunica de manera proactiva [Gestión de Protección de Datos].
Evidencia: Guiones de los Call Centers

El call center usa guiones para llevar a cabo actividades de telemarketing que guían a los
empleados sobre cómo obtener el consentimiento explícito para llevar a cabo el tratamiento16.
Contexto: Regalas, Gestión de Protección de Datos

El área de protección de datos puede demostrar que a los empleados se les suministran las
herramientas para cumplir con la política [Reglas] toda vez que los guiones contienen un aparte
sobre cómo explicar el aviso de privacidad y cómo obtener el consentimiento explícito (Gestión
de Protección de Datos).
Evidencia: Capturas de pantalla del CRM

El sistema de Gestión de Relaciones con los Clientes (CRM por sus siglas en inglés) contiene un
campo donde se registra el consentimiento y las solicitudes de opt-out. Los mecanismos de
validación evitan que el usuario hago uso de un registro para una finalidad frente a la cual no se
cuenta con la autorización del titular.
Contexto: Tratamiento de Datos

Toda vez que el oficial de protección de datos entiende cómo se recolecta la información y
cómo fluye dentro de la organización (Tratamiento de Datos), el o ella pueden usar el CRM para
demostrar que el consentimiento se está obteniendo ya la actividad se está manteniendo.
Evidencia: Consulta al área de protección de datos

El director del call center ha contactado al área de protección de datos vía correo electrónico
para indagar acerca de cómo aplicar la política de la organización de obtener el consentimiento
explícito en aquellas jurisdicciones donde el consentimiento implícito está permitido por la ley.
Estos correos electrónicos y las discusiones de seguimiento muestran cómo el área de
protección de datos le prestó asistencia al call center para discutir los requisitos sobre
consentimiento.
14 Lleve a cabo entrenamientos en protección de datos en 5. Mantenga un programa de capacitación y concientización en el Marco Nymity de
Gobernanza en Privacidad y Protección de Datos Personales™.
15
Lleve a cabo entrenamientos en protección de datos con contenidos específicos para los distintos puestos de trabajo en 5. Mantenga un programa
de capacitación y concientización en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.
16 Integre la protección de datos en las prácticas de telemercadeo en 4. Integre la protección de datos en las operaciones en el Marco Nymity de

Contexto: Reglas, Riesgo de Protección de Datos
El área de protección de datos puede explicar que aun cuando la ley no requiere que haya un
consentimiento explícito en todos los casos (Reglas), han tomado la decisión no obstante de
requerirlo siempre. Mediante la simplificación del proceso y optando por el requisito más
exigente, será poco probable que la organización incurra en un no cumplimiento (Riesgo de
Protección de Datos).
Evidencia: Resultados de las auditorías

Una auditoría de las operaciones del call center incluía oír una selección de llamadas grabadas
para determinar si el el proceso para obtener el consentimiento se estaba siguiendo17. No se
reportó ninguna excepción.
Contexto: Gestión de Protección de Datos, Riesgo de Protección de Datos

Aun cuando la auditoría interna no fue adelantada por el área de protección de datos, se
convierte en documentación que puede ser usada como Evidencia de la responsabilidad
demostrada y del cumplimiento legal. El reporte muestra que las llamadas seleccionadas
siguieron los requerimientos de la política de protección de datos (Reglas). Por cuanto la
política excede el requisito legal (Reglas), el área de protección de datos puede explicar porqué
llegaron a la conclusión de que existe un bajo riesgo de no cumplimiento con los
requerimientos legales que se refieren al consentimiento (Reglas).
El área de protección de datos estuvo en capacidad de contestar la pregunta: ¿cómo cumple la organización
con las Reglas sobre consentimiento? Nótese que en el ejemplo anterior, el área de protección de datos
estuvo en capacidad de demostrar el cumplimiento legal usando la documentación existente sobre gestión
de protección de datos; no se produjo documentación extra para alcanzar ese propósito Nótese también que
la documentación en sí misma no suficiente para demostrar el cumplimiento legal a alguien que no entienda
las reglas que le aplican a la organización, la forma en que se tratan los datos personales, la manera en que
la protección de datos se encuentra articulada en la organización o el perfil de riesgo. La documentación
requirió que se recurriera al contexto dado por el oficial de protección de datos.
17
Lleve a cabo auditorías internas del programa de protección de datos En 12. Monitoree las prácticas de manejo de datos en el Marco Nymity de

Sección 2: Demuestre la Responsabilidad Demostrada y
el cumplimiento legal
La Sección 1 describió el proceso para contextualizar la Evidencia frente a las Reglas18 para poder demostrar
el cumplimiento legal. En esta sección se presentan unas guías detalladas de cómo el área de protección de
datos puede probar la responsabilidad demostrada como un primer paso en el camino de demostrar el
cumplimiento legal. Probar la responsabilidad demostrada es mostrar cómo se ejerce la responsabilidad y
hacer esto verificable19.
Organizaciones alrededor del mundo y en todos los sectores de la economía usan el Scorecard Nymity de
Protección de Datos y Responsabilidad Demostrada™, una herramienta basada en Microsoft Excel®, para
recopilar la Evidencia de las actividades de gestión de información de los Dueños, creando un índice de
documentación (Cuaderno de Evidencias) y automáticamente generando mediciones sobre el estado de la
gestión en protección de datos (Scorecard).
La herramienta genera reportes que le permitirán al área de protección de datos contestar las siguientes
preguntas:
“¿Nuestro programa de protección de datos ha sido diseñado para cumplir con una o más Reglas?”
“La gestión de protección de datos está implementada y mantenida de manera efectiva en un país
específico o en una unidad de negocio específica?”
“¿Dónde se encuentran los vacíos entre el estado actual y el estado deseado (en términos de
cumplimiento)?”
“¿Cómo hace la organización para ir más allá de de los mínimos requeridos para el cumplimiento
legal, para hacer tratamientos responsables de datos personales?”
Aun cuando algunos casos requieren que se dé un diálogo con el área de protección de datos donde la
Evidencia se contextualice frente a las Reglas, no todos los públicos quieren ese nivel de detalle. Por
ejemplo, la Alta Dirección y la Junta Directiva quieren saber el estado de la gestión de datos, pero, siendo
que no son expertos en la materia, requieren una respuesta sencilla que esté soportada por Evidencias y
análisis. Desde 2009, Nymity ha adelantado investigaciones en aproximaciones prácticas a cómo probar la
responsabilidad demostrada. Estas investigaciones han resultado en lo siguiente:
 Cuaderno de Evidencias
Una hoja de cálculo que provee una aproximación estructurada para registrar las actividades de
gestión de información, recoger Evidencia de los Dueños e indexar la localización de la
documentación. En el ejemplo anterior sobre el call center, la Evidencia que el área de protección
de datos usó para contextualizar la gestión de datos fue recopilada usando el Cuaderno de
Evidencias.
 Scorecard Nymity
Una representación visual del estado del cumplimiento legal, automáticamente generado después
de completar el Cuaderno de Evidencias.
18Reglas: Requerimientos de una ley, regulación, política, u otro compromiso como un Código de Conducta o un aviso de privacidad.
19Grupo de Trabajo del Artículo 29 Opinión 3/2010 sobre el principio de responsabilidad demostrada (accountability)
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_en.pdf

Cuaderno de Evidencias
El Cuaderno de Evidencias permite una aproximación
eficiente para que el área de protección de datos indexe la
documentación que se produce como consecuencia de la
implementación de las actividades de gestión de
información y que están distribuidas a lo largo de toda la
organización. Mantener registros de esta documentación
en un solo lugar le permite al área de protección de datos
probar la responsabilidad demostrada a solicitud. Si el
Cuaderno de Evidencias se mantiene actualizado, el oficial
de protección de datos se encontrará en capacidad de Cuaderno de Evidencias
demostrar el cumplimiento legal. El o ella tendrán a la mano el estado del programa y podrán responder
rápidamente a las preguntas sobre cómo la organización cumple con las Reglas.
Visualización automática – Accountability Scorecard

Completar el Cuaderno de Evidencias automáticamente genera una tabla que permite una demostración
sencilla y de alto nivel sobre el estado de la responsabilidad demostrada de la organización. En la medida
que el oficial de protección de datos actualiza el Cuaderno de Evidencias, el Scorecard se va generando de
manera automática y mostrando los siguientes ítems:
1. Línea de Estado de Gestión del Programa (línea

azul)
El estado del programa de protección de datos en
cualquier momento en el tiempo. El Scorecard
muestra la historia del programa en el tiempo, y le
permite al área de protección de datos contar la
historia de la evolución del mismo.
2. Línea de cumplimiento (Línea verde)

El nivel mínimo para alcanzar el cumplimiento legal;
en otras palabras el punto donde todas actividades de gestión de información obligatorias para alcanzar
el cumplimiento legal se han evidenciado con documentación actualizada.
3. % Gerenciado
Localizado debajo de la Línea de Cumplimiento (Línea
verde) está el porcentaje de actividades de gestión de
información obligatorias 20 que cuentan con Evidencia.
Si el estado es 100% gerenciado el oficial de protección
de datos puede demostrar el cumplimiento.
4. % Avanzado
Localizado arriba de la Línea de cumplimiento (línea verde) están las actividades de gestión de
20Mandatory privacy management activities are defined by the privacy office and are typically the required privacy management activities to achieve
ongoing compliance to one or more Rule sources, for example, a privacy law.

información que van más allá del cumplimiento legal y en consecuencia, son Avanzadas. Como se explicó
antes, estas se denominan actividades de gestión de información adicionales 21 que se implementan no
porque sean Obligatorias sino porque son parte del objetivo del área de protección de datos de ir un
paso más allá.
Beneficios de usar el Cuaderno de Evidencias y el resultante Scorecard

El área de protección de datos puede probar la responsabilidad demostrada simplemente poniendo a
disposición las Evidencias de las actividades de gestión de información. Sin embargo, mediante el uso del
Cuaderno de Evidencias y el resultante Scorecard, se logran los siguientes beneficios adicionales:
1. Comunicación efectiva
El Scorecard le permite al oficial de protección de datos contar la historia de la gestión de información
incluyendo el pasado y el presente, con base en Evidencia. La naturaleza sencilla del Scorecard le
permite al oficial de protección de datos comunicar de manera efectiva el estado mediante contexto,
inclusive frente a audiencias que no tengan un conocimiento profundo de protección de datos. Podrán
explicar que la meta es alcanzar la línea de cumplimiento – si el estado está por debajo de dicha línea
(% Gerenciado), es porque hay vacíos, y si está por encima de la línea (% Avanzado) entonces la
gestión de información está por encima del mínimo requerido para el cumplimiento.
2. Basado en la documentación existente

El Cuaderno de Evidencias le permite al área de protección de datos mantener un registro de la
documentación producida por las actividades de gestión de información. Tener un índice centralizado
facilita el proceso para contextualizar la Evidencia cuando se está demostrando el cumplimiento legal
y el área de protección de datos podrá acceder más rápidamente a la documentación si la requiere
para contestar preguntas o requerimientos. Como se explica en el Anexo A: Fundamentos de la
Gestión Estructurada de Protección de Datos, el área de protección de datos no crea documentación
sólo para demostrar el cumplimiento legal, esta se produce como un subproducto de implementar las
actividades de gestión de información.
3. Flexible y escalable
El Cuaderno de Evidencias y el Scorecard funcionan para organizaciones de cualquier tamaño, en
cualquier jurisdicción y para todos los tipos de tratamientos de datos. Algunas organizaciones usan
múltiples Cuaderno de Evidencias, y crean Scorecards para partes diferentes de la organización, por
ejemplo por país o por unidad de negocio.
21Las actividades de gestión de información avanzadas son definidas por el área de protección de datos y son aquellas actividades que van más allá
del texto literal de la ley; en otras palabras, no son obligatorias.

Sección 3: Guía de configuración del Accountability
Scorecard
Esta sección detalla las instrucciones para configurar y usar el Cuaderno de Evidencias que automáticamente
genera el Scorecard.
Identifique y
Configure el Recoja
Estructura categorice las Gestión
Cuaderno Evidencia
del Actividades de contínua del
de de los
Scorecard Gestión de Scorecard
Evidencias Dueños
Información
Estructura del Scorecard

Un programa efectivo de protección de datos requiere que las actividades de gestión de información estén
distribuidas a través de la organización – no solo a nivel del área de protección de datos. Por esta razón, la
mayoría de las organizaciones escogen eventualmente implementar múltiples Scorecards para poder agilizar
el proceso de recolectar la Evidencia y generar mediciones más específicas para ayudar a identificar las
fortalezas y las debilidades.
Hay algunas posibilidades para estructurar una aproximación de múltiples Scorecards. Con base en la
experiencia de Nymity con un número de implementaciones exitosas del Scorecard la mejor aproximación es
muchas veces un híbrido de las siguientes aproximaciones de despliegue:
 Funcional/Basada en el uso (p.ej. Mercadeo, Recurso Humanos, Unidades de Negocio): desplegar un

Scorecard para cada unidad operativa es recomendado para aquellas organizaciones donde el tipo
de tratamiento de datos varía a lo largo de la organización. Por ejemplo, en el sector financiero, los
mismos datos personales (datos de clientes) pueden ser usados para prestar servicios o para fines de
marketing. Configurar un Scorecard tanto para el área del negocio core como para el área de
marketing es una buena manera de ver la película completa.
 Geográfica: en organizaciones donde el tratamiento de datos personales es relativamente

consistente a lo largo de las diferentes funciones, puede ser apropiado crear diferentes Scorecards
para cada jurisdicción o región. Esto muchas veces sucede cuando el uso principal de los datos
personales es para el departamento de recursos humanos. Desplegar un Scorecard para cada región
hace que resulte más fácil configurarla basándose en los requerimientos locales y comparar el
estado de una región con el de otra.
La mayoría de las organizaciones despliegan el Scorecard para medir, monitorear y reportar sobre las
actividades del área de protección de datos, a manera de prueba antes de adicionar múltiples Scorecards y
de desplegarlas en toda la organización.
Cuando se usan múltiples Scorecards, lleve a cabo los siguientes pasos para cada una de ellas. Un Scorecard
puede tener su propio conjunto de actividades de gestión de información, preguntas de recolección de
Evidencia, respuestas y Evidencia.
Identifique y categorice las Actividades de Gestión de Información

El primer paso para poder medir la gestión en protección de datos es identificar las actividades de gestión de
información relevantes. Esto puede hacerse de varias maneras, bien sea enfocándose en una o más fuentes

de reglas para el cumplimiento legal o construyendo sobre la base del ejercicio de estudio preliminar que se
detalla en el documento “Una aproximación estructurada a la gestión de datos personales: Manual
Introductorio” que se puede encontrar en https://latam.nymity.com/recursos.
Identifique las Actividades de gestión de información basándose en una aproximación de

cumplimiento legal
Demostrar el cumplimiento legal en materia de protección de datos es mostrar que la organización cumple
con los requerimientos de una Regla: una ley, reglamento, política u otro compromiso tal como un aviso de
privacidad o un código de conducta. Una manera sencilla de empezar es identificar las actividades de gestión
de información que se son requeridas por las Reglas. Para hacer esto:
1. Lea la fuente de la Regla, por ejemplo una ley de protección de datos, e identifique las Reglas que
requieren Evidencia para demostrar el cumplimiento legal. Dentro de una fuente, puede haber muchas
Reglas que no requieren Evidencia. Por ejemplo, las definiciones, excepciones, facultades y funciones de
la autoridad, sanciones , etc. En la ley de protección de datos del Reino Unido, hay 219 Reglas
(provisiones). Solamente 31 Reglas requieren Evidencia.
2. Para cada Regla que requiere evidencia, identifique las actividades de gestión de información que
producen la Evidencia. En otras palabras, las actividades de gestión de información que le ayudarán a
mantener un cumplimiento legal continuado de esa Regla.
El estudio Una aproximación estructurada a la gestión de datos personales: Manual Introductorio provee
una estrategia de cumplimiento que está basada en los mismos pasos: identificar las Reglas que requieren
Evidencia e implementar las actividades de gestión de información que producirían la Evidencia requerida. El
Apéndice C de dicho documento, contiene ejemplos de actividades de gestión de información comúnmente
implementadas para satisfacer los requerimientos de varias fuentes de Reglas como por ejemplo el
Reglamento General de Protección de Datos de la UE, Normas Corporativas Vinculantes, APEC y otros.
Identifique las Actividades de gestión de información con base en el Estudio Preliminar

La aproximación basada en Cumplimiento legal que se describió identifica las actividades de gestión de
información con base en las Reglas. Otra aproximación es identificar las actividades de gestión de
información con base en lo que ya se ha implementado en la organización, también conocido como Estudio
Preliminar.
Llevar a cabo un estudio preliminar relativo a la gestión de

protección de datos es una segunda aproximación para identificar NOTA DE IMPLEMENTACIÓN
las actividades de actividades de gestión de información para
No Aplicable
demostrar el cumplimiento legal. Es estudio preliminar permite En virtud de que el Marco es de
identificar el estado actual de las actividades de gestión de carácter global, encontrará
información cosa que puede hacerse usando el Cuaderno de algunas actividades no relevantes
Trabajo Nymity de Gestión de Datos Personales (“Cuaderno de que deberán clasificarse como No
Trabajo”) puesto a disposición por Nymity. El Cuaderno de Trabajo Aplicable. Es posible que hasta el
50% de las Actividades de Gestión
contiene las actividades de gestión de información contenidas en el
de Información resulten N/A y
Marco Nymity de Gobernanza en Privacidad y Protección de Datos para pequeñas y medianas
™. empresas podría llegar hasta el
80%. Un ejemplo de actividades
Para hacer el estudio preliminar de la gestión existente en materia clasificadas como No Aplicable
de protección de datos, identifique cuáles actividades de gestión de son aquellas relacionadas con el
información están/son Implementadas, en Progreso, Deseadas y marketing en organizaciones que
No Aplicables. no adelantan ninguna gestión de
mercadeo.
Not Applicable
Manual para Demostrar el Cumplimiento Legal: 17 Copyright© 2016 Nymity Inc. As the Framework is a
comprehensive, industry and
jurisdiction neutral listing,
 Implementadas: Las Actividades de gestión de información que ya se han puesto en marcha y
tienen recursos suficientes par ser mantenidas se categorizan como “Implementadas”.
 En Progreso: Si la Actividad de Gestión de Información está en progreso de ser implementada o

ha sido programada para ser implementada, se categoriza como “En progreso”.
 Deseadas: Actividades de gestión de información que se ha determinado que sí son aplicables a

la organización o relevantes para la gestión en protección de datos pero que actualmente no se
han “implementado” ni se han asignado recursos para ser implementadas”.
 No Aplicable (N/A): Actividades de gestión de información que no son aplicables a la

organización (o a la parte de la organización que está siendo evaluada) se categorizan como
“N/A”.
Muchas de las actividades de gestión de información serán aplicables a múltiples Scorecards e inclusive
podrán tener un estado diferente en cada uno.
Categorice las Actividades de gestión de información

La sección anterior describió dos aproximaciones para identificar las actividades de gestión de información.
Si usted selecciona la aproximación de estudio preliminar, las actividades y el estado actual se registrará en
el Cuaderno de Trabajo. Si usted selecciona la aproximación de cumplimiento legal, es posible que quiera
registrarlas en una hoja de cálculo separada.
Todas las actividades de gestión de información deben categorizarse como Obligatorias o Adicionales:
 Obligatorias
Actividades de gestión de información que deben ser implementadas para que la organización pueda
cumplir con las Reglas. Típicamente, el oficial de protección de datos escoge una o más reglas Reglas
para empezar e identifica las actividades de gestión de información obligatorias que son necesarias
para lograr un cumplimiento legal continuado.
 Adicionales
La mayoría de las organizaciones van más allá de los mínimos requeridos para el cumplimiento legal,
e implementan actividades de gestión de información que no son Obligatorias pero que contribuyen
con el tratamiento responsable de los datos personales. Estas activiades de gestión de información
se categorizan como Adicionales. Algunos ejemplos incluyen:
o Publique materiales para crear conciencia sobre protección de datos (ej. carteleras y videos)
o Monitoree y reporte las mediciones de las quejas de protección de datos (ej. número,
razones de fondo)
o Obtenga un seguro con cobertura de incidentes/brechas de datos personales
Configure el Cuaderno de Evidencias

Una vez se ha determinado la estructura del Scorecard y se han identificado las actividades de gestión de
información, el Cuaderno de Evidencias está listo para ser programado.
Cree las preguntas de recolección de Evidencia

Para cada actividad de gestión de información el oficial de protección de datos crea una o más preguntas de
recolección de Evidencia. Estas son preguntas cerradas que logran obtener la Evidencia de los Dueños de la
mejor manera posible. Las preguntas cerradas deben ser respondidas con ‘sí’ o ‘no’ para permitir un análisis

cuantitativo. La pregunta debe tener una respuesta de sí o no toda vez que esto es necesario para la
generación automática del Accountability Scorecard.
NOTA DE IMPLEMENTACIÓN
Las mejores preguntas de recolección de evidencia son sencillas, directas y están escritas en el lenguaje del
Dueño que debe responderlas.
Un beneficio del Scorecard es que le permite al área de protección de datos involucrarse con las partes
interesadas a lo largo de la organización, así estos no sean expertos en protección de datos. Por ejemplo, si
el objetivo es obtener Evidencia para soportar la Actividad de Gestión de Datos “Mantenga comunicaciones
regulares entre el área de protección de datos, la red de protección de datos y otras personas responsables
en la materia” es mejor especificar el resultado deseado dentro de la pregunta en vez de reescribir la
actividad como una pregunta. Preguntar “¿Los individuos responsables por protección de datos se
comunican de manera regular?” no será nunca tan efectivo como preguntar “¿Los contactos de protección
de datos se reúnen con el equipo central de protección de datos trimestralmente?”. El individuo que
responde sabrá exactamente qué se espera de su respuesta y la tarea de suministrar la Evidencia será
mucho menos onerosa.
Registre las preguntas de recolección de Evidencia en la columna B del Cuaderno de Evidencias. Las pregunta
as que se correspondan con las actividades de gestión de información obligatorias irán en la parte de arriba
(empezando en la celda B8) y las actividades de gestión de información Adicionales irán en la parte inferior
(empezando con la celda B60).
Asigne Dueños
Como se discutió en detalle en el Apéndice A: Fundamentos de una gestión estructurada de protección de
datos , el Dueño puede ser el área de protección de datos o un individuo o grupo de individuos en las áreas
operativas o de negocio. Nótese que el Dueño no necesariamente completa la actividad de gestión de
información, pero en últimas es responsable por ella.
Registre el Dueño de cada actividad en la columna C.
Determine la Frecuencia
Para cada Actividad de Gestión de Información, se debe definir una frecuencia. Todas las actividades de
gestión de información deben llevarse a cabo de manera regular- bien sea de manera periódica o continua.
Para cada actividad de gestión de información, el área de protección de datos determina la Frecuencia
apropiada dentro de la cual se debe suministrar la Evidencia. La frecuencia en que se proporciona la

Evidencia no es necesariamente la frecuencia con que se lleva a cabo la actividad. Por ejemplo, para las
actividades que se llevan a cabo de manera continua puede ser suficiente suministrar Evidencia resumida
mensual o trimestralmente.
Registre la Frecuencia de cada actividad en la columna D.
Recoja la Evidencia de los Dueños

Después de que se configura el Scorecard por parte del área de protección de datos, el paso siguiente es
recoger la Evidencia. El área de protección de datos recoge las respuestas de las preguntas de recolección de
Evidencia así como la Evidencia que soporta dichas respuestas.
Ingrese la fecha de la actualización inicial en la celda F3. En la medida en que usted va completando las
siguientes secciones para cada Pregunta, el Puntaje se actualizará de manera automática.
La Respuesta contiene dos partes: (1) – una respuesta de sí o no a la Pregunta de Recolección de Evidencia
(columna F), y (2) un comentario para proveer Contexto adicional (columna G).
Evidencia: Todas las Preguntas cuya respuesta sea “sí” requieren Evidencia. El área de protección de datos
puede registrar la Evidencia en la columna H por medio de un link a un URL o una descripción de dónde
puede encontrarse ese documento.
El Score de Protección de Datos se calcula de manera automática

Esta sección es para propósitos de información para entender cómo se grafica el score con base en el
Scorecard.
El Score de Protección de Datos representa el estado de la gestión en protección de datos como un

porcentaje de las actividades de gestión de información Obligatorias y Adicionales que están siendo
completadas y evidenciadas de manera permanente. El Score se calcula dividiendo el número de actividades
para las que el Dueño ha entregado Evidencia (p. ej. la Respuesta es “sí”), por el número de actividades
identificadas por el área de protección de datos. El resultado es igual al porcentaje de actividades para las
que se ha registrado Evidencia en esa fecha específica.
% Gerenciado = # de Actividades Obligatorias con Evidencia ÷ # Actividades Obligatorias

Cuando se ha registrado Evidencia para todas las Actividades Obligatorias, el score de protección de datos se
considera 100% Gerenciado, y el estado alcanza entonces la línea de Cumplimiento. Cuando se han
implementado y se ha registrado Evidencia para Actividades Adicionales de gestión de información, la
gestión de protección de datos de la organización ha superado los requisitos mínimos y en consecuencia
adquiere un score avanzado.
% Avanzado = # de Actividades Adicionales con Evidencia ÷ # de Actividades Adicionales
Para configurar el Scorecard (identificar las actividades, formular preguntas, asignar responsabilidades, etc.)
se requieren la experiencia y el conocimiento especializado del área de protección de datos que sabe cuáles
son los objetivos de gestión de protección de datos de la organización. Calcular el Score, no obstante, no
requiere ese conocimiento.
Así, es fácil comparar diferentes áreas de la organización, así como revisar los resultados en el tiempo. Un
score de cumplimiento del 80% en un área resulta en una comparación de “manzanas con manzanas” en
una jurisdicción diferente o en otra área de negocio.
Hasta el momento en que se alcanza la Línea de Cumplimiento como Gerenciada en un 100%, el porcentaje
Avanzado e muestra como un Score potencial. En otras palabras, las Actividades de gestión de información
adicionales no afectan el Score hasta que todas las Actividades de gestión de información obligatorias se
completan. Aun cuando las Actividades de gestión de información adicionales no afectan el Score total, el
oficial de protección de datos todavía puede responder por ellas y recolectar Evidencia. Esto le permite al
oficial de protección de datos obtener una visión holística de la gestión de datos personales en la
organización.
El Scorecard le permite al oficial de protección de datos y a las partes interesadas a lo largo de la
organización ver el impacto inmediato de sus propias actividades y de las actividades de sus contrapartes en
el estado general de la gestión de protección de datos. Esto puede ser un motivador muy poderoso para
monitorear de manera proactiva el estado y proveer Evidencia antes de que expire la Frecuencia. Una
organización incluso se dio cuenta de que los usuarios entran en una especie de sana competencia para ver
quién puede obtener el score más alto en la medida que usaban múltiples Scorecards.
Gestión permanente del Scorecard

Las Actividades de gestión de información deben llevarse a cabo de manera permanente y la Evidencia debe
ser actualizada o reafirmada. Como tal, el Scorecard debe ser mantenido – puede ser actualizado de manera
periódica (mensualmente, trimestralmente o anualmente) o cuando las respuestas cambien (p. ej. cuando se
proporcione Evidencia para una nueva actividad).
Después de la primera actualización, la Respuesta (sí/no), Comentario y Evidencia se llenarán

automáticamente, refiriendo al lector al estado anterior.

Para actualizar el estado – como consecuencia de una actualización programada – ingrese una nueva fecha
en la celda K2. Identifique cualquier Respuesta que requiera ser actualizada. Las Respuestas deben ser
actualizadas cuando:
 La respuesta ha cambiado; por ejemplo, la respuesta era ‘no’ y la actividad ahora se ha completado y
se ha suministrado Evidencia.
 La Frecuencia sea ha vencido; por ejemplo, la última actualización fue hace tres meses y la actividad
tiene una frecuencia trimestral.
Para las preguntas que requieren una Actualización, seleccione “Sí” en

la columna “Actualización” para suministrar nuevas respuestas. La NOTA DE IMPLEMENTACIÓN
celda automáticamente se resaltará en Amarillo para que sea más
Automático
sencillo buscar los cambios que se han hecho de una actualización a la La visualización del Accountability
siguiente. Scorecard se actualiza cada vez que una
Actualización se incluye en el Evidence
El Cuaderno de Evidencias permite 20 Actualizaciones por default. Si el Worksheet.
Cuaderno de Evidencias se actualiza trimestralmente, el Scorecard
puede demostrar el cumplimiento legal por un período de cinco años.

Apéndice A: Fundamentos de la Gestión Estructurada de
Protección de Datos
En 2002, Nymity empezó su investigación sobre Responsabilidad Demostrada. En 2012, Nymity potenció su
investigación con una serie de talleres prácticos alrededor del mundo, que incluyeron autoridades de
protección de datos para examinar qué le implica a las organizaciones “probar” la responsabilidad
demostrada a través de una gestión efectiva de protección de datos. Un componente de esta investigación
resultó en un entendimiento de que la gestión estructurada en protección de datos personales tiene tres
componentes claves: 1. Responsabilidad, 2. Control, y 3. Evidencia.
1. Responsabilidad
Las organizaciones responsables implementan y mantienen una serie de
actividades de actividades de gestión de información
La investigación de Nymity dio como resultado el Marco Nymity de
Gobernanza en Privacidad y Protección de Datos™ (el “Marco”). Este Marco
forma la base para el elemento de “Responsabilidad” en una aproximación
estructurada a la gestión de protección de datos.
El Marco no es una lista de chequeo de actividades que deben ser
completadas; más bien, se trata de un menú para gestionar programas de protección de datos personales
que puede ser adaptado a cualquier organización. La gestión de protección de
datos no es igual en ninguna organización, y en consecuencia este Marco
Categorías de Gestión de Datos
brinda la flexibilidad necesaria para planear, escalar y comunicar eficazmente Personales
la gestión de dichos programas. El Marco no se basa en principios ni en 1. Mantenga una estructura de
gobernanza
controles, sino en actividades de gestión de información que pueden ser 2. Mantenga un inventario de datos
monitoreadas. Es un listado completo, jurisdiccional e industrialmente neutro, personales
de más de 130 actividades de gestión de información organizadas en 13 3. Mantenga una Política de
Protección de Datos
Categorías de Gestión de Datos. 4. Integre la protección de datos en
las operaciones
En una aproximación estructurada a la gestión de protección de datos, la 5. Mantenga un programa de
capacitación y concientización
responsabilidad significa implementar y mantener de manera permanente las
6. Gestione los riesgos de
Actividades de gestión de información (Actividades) que son relevantes para seguridad de la información
esa organización en concreto. Las actividades de gestión de información son 7. Gestione los riesgos con
terceros
procedimientos, políticas, medidas, mecanismos y otras iniciativas que 8. Mantenga avisos de privacidad
impactan el tratamiento de datos personales o que se relacionan con el 9. Responda a las peticiones y
cumplimiento de las leyes de protección de datos personales. Las Actividades quejas de los individuos
10. Monitoree las nuevas prácticas
apropiadas se determinan con base en los requerimientos de cumplimiento, el operacionales
perfil de riesgos, los objetivos de negocio y el Contexto de l tratamiento de datos (tipo
11. de datos tratados,
Mantenga un programa de
gestión de incidentes y
naturaleza del tratamiento, finalidades de la recolección, uso y puesta a disposición, etc.)vulneraciones
de la organización.
de datos
12. Monitoree las prácticas de
manejo de datos
2. Control 13. Haga seguimiento a criterios
externos
Un individuo responde por la gestión y el monitoreo de cada una de las actividades de gestión de
información
El control es el segundo elemento de la gestión estructurada de protección d datos y se construye sobre el
elemento anterior de Responsabilidad. Aun cuando el Oficial de Protección de Datos es responsable por el
cumplimiento legal en la materia, el área de protección de datos en sí misma usualmente trata muy pocos
datos personales, si es que lo hace. Como tal, la efectividad del programa de protección de datos se basa en
que se lleven a cabo las actividades de gestión de información apropiadas en todos los puntos del ciclo de

vida del dato personal, desde el punto de recolección hasta el punto de destrucción. El Control de algunas
actividades de gestión de información recaerá en las unidades operativas y de negocio, por ejemplo,
recursos humanos, marketing, desarrollo de productos, TI, servicio al cliente, etc., toda vez que allí es donde
se está recolectando y tratando realmente la información personal.
Las Actividades de gestión de información pueden ser:
 Mantenidas por el área de protección de datos, por ejemplo:
o Mantenga una política de protección de datos personales
o Lleve a cabo entrenamientos en protección de datos
o Mantenga un aviso de privacidad que detalle las prácticas de la organización en el manejo de
datos personales
o Identifique de manera continua los requerimientos sobre cumplimiento legal (compliance)
(ej. leyes, jurisprudencia, regulación, etc.).
 Influenciadas u observadas por el área de protección de datos, por ejemplo:
o Integre la protección de datos en las prácticas de marketing directo
o Integre la protección de datos en una política de seguridad de la información
o Lleve a cabo procesos de debida diligencia (due diligence) de las prácticas de protección de
datos y seguridad de la información de los potenciales proveedores/encargados
La Tabla 0.1 ofrece ejemplos de las actividades de gestión de información dentro de cada una de las 13
Categorías de Gestión de Datos llevadas a cabo por distintas partes interesadas dentro de la organización.
Categorías de Gestión de Actividades cuyo dueño es el Actividades cuyos dueños son las Unidades de
Datos Área de protección de datos – Negocio – Ejemplos
Ejemplos
1. Mantenga una estructura Mantenga una Estrategia de Dueño: Recursos Humanos
de gobernanza Protección de Datos
Exija que los empleados reconozcan y se
adhieran a las políticas de protección de
datos
2. Mantenga un inventario de Mantenga un inventario de Dueño: Administrador de Archivos
datos personales bases de datos (qué datos Corporativos
personales son almacenados y
en dónde)
Clasifique los datos personales tratados por
tipo (ej. sensibles, privados, semi-privados,
públicos)
3. Mantenga una política de Mantenga una política de Dueño: Recursos Humanos
protección de datos protección de datos personales
Mantenga una política de protección de datos
de empleados
4. Integre la protección de Mantenga Dueño: Marketing
datos en las operaciones políticas/procedimientos para
la recolección y uso de datos
Integre la protección de datos en las prácticas
personales de niños y menores
de marketing directo
de edad
5. Mantenga un programa de Lleve a cabo entrenamientos en Dueño: Servicio al cliente
capacitación y concientización protección de datos
Incorpore la protección de datos en otros
programas operacionales de capacitación

Categorías de Gestión de Actividades cuyo dueño es el Actividades cuyos dueños son las Unidades de
Datos Área de protección de datos – Negocio – Ejemplos
Ejemplos
tales como recursos humanos, seguridad, call
center
6. Gestione los riesgos de Mantenga una política sobre los Dueño: Seguridad de la Información
seguridad de la información usos aceptables de los recursos
de información
Implemente medidas de seguridad
tecnológicas (ej. detección de intrusos,
firewalls, monitoreo)
7. Gestione los riesgos con Mantenga requerimientos de Dueño: Legal
terceros protección de datos personales
para terceros (ej. clientes,
Mantenga procedimientos para celebrar
proveedores, encargados,
contratos o convenios con todos los
afiliados)
encargados
8. Mantenga avisos de Mantenga un aviso de Dueño: Seguridad Corporativa y
privacidad privacidad que detalle las Mantenimiento
prácticas de la organización en
el manejo de datos personales
Ponga a disposición el aviso de privacidad en
medios visibles como letreros y carteles
9. Responda a las peticiones y Investigue las razones de fondo Dueño: Call Center
quejas de los individuos de las quejas de protección de
datos
Mantenga procedimientos para dar respuesta
a las peticiones, quejas y reclamos
10. Monitoree las nuevas Mantenga guías y formatos Dueño: Tecnologías de la Información
prácticas operacionales para las Evaluaciones de
Impacto de Privacidad (PIAs por
Lleve a cabo PIAs/EIPDs para nuevos
sus siglas en inglés) y las
programas, sistemas y procesos
Evaluaciones de Impacto de
Protección de Datos (EIPDs)
11. Mantenga un programa Mantenga un plan de respuesta Dueño: Legal:
de gestión de incidentes y a incidentes/brechas de datos
vulneraciones de datos personales
Involucre a un equipo de investigación
forense
12. Monitoree las prácticas de Monitoree y reporte las Dueño: Control Interno
manejo de datos mediciones del programa de
protección de datos
Lleve a cabo auditorías internas del programa
de protección de datos (ej. auditoría
operativa del Área de Protección de Datos)
13. Haga seguimiento a Identifique de manera continua Dueño: Cumplimiento
criterios externos los requerimientos sobre
cumplimiento legal
Identifique y gestione los conflictos entre
(compliance) (ej. leyes,
legislaciones
jurisprudencia, regulación, etc.)
Tabla 0.1 – Ejemplos de Actividades cuyos dueños son el Área de protección de datos y las Unidades de Negocio

3. Evidencia
La Documentación que es un subproducto de las actividades de gestión de información se pone a
disposición por parte del Dueño de la Actividad.
El tercer elemento de la gestión estructurada de protección de datos es la Evidencia. En las organizaciones
responsables, el Dueño de una actividad de gestión de información provee la Evidencia de soporte que da
cuenta de que la actividad está siendo mantenida.
Cuando las actividades de gestión de información se llevan a cabo de manera continua, la Evidencia es un
subproducto de esto. La Evidencia es documentación que puede ser formal (ej. políticas, procedimientos,
reportes) o información (ej. comunicaciones, agendas, logs de sistemas) y puede ser usada con Contexto por
el oficial de protección de datos para demostrar que una actividad se está llevando a cabo. Por ejemplo, la
actividad de gestión de información “Mantener guías y formatos para los PIA” produce varios tipos de
Evidencia, incluyendo: políticas que requieren que se llevan cabo los PIAs, procedimientos y flujos de trabajo
documentando los procedimientos de aprobación, guías y planillas de PIAs, documentos de entrenamiento
sobre cómo adelantar PIAs, logs de PIAs, etc. Esta documentación sirve como Evidencia de la responsabilidad
demostrada.
Refiérase a la Tabla X.X para las características de la documentación formal e informal y los ejemplos
correspondientes:
Documentación Características Ejemplos

Formal Típicamente publicada, mantenida y comunicada Políticas, Procedimientos, Reportes
a los grupos designados
Informal Puede mostrar un ejemplo de que ha ocurrido Comunicación por correo electrónico,
una actividad, tal como una conversación por agendas de reuniones, logs de sistemas
correo electrónico entre dos individuos clave o el
registro de participación en un webinar
Tabla a 0.2 – Características de la documentación formal e informal
Tabla 0.3La Tabla 0.3 describe el rol que el área de protección de datos juega dependiendo de la fuente de la
documentación, así como ejemplos de los distintos tipos de documentos:
Fuente Rol del Área de protección Ejemplos de documentos

de datos
Producidos El área de protección de Política de protección de Datos
Generado por el área de datos lleva a cabo la Aviso de privacidad
protección de datos con insumos actividad
Currículo de entrenamiento en protección de
de otros interesados claves datos
Guías para llevar a cabo PIAs
Política/procedimientos para usos secundarios
de datos personales
Influenciados El área de protección de Procedimientos de marketing directo
Influenciados por el área de datos colabora con su PIAs
protección de datos pero creados opinión o su concepto
Políticas de empleo
por otros interesados claves
Tablas de retención documental
Recolectados El área de protección de Resultados de las auditorías internas
Entregados al área de protección datos se mantiene al tanto Resultados de las evaluaciones de seguridad de
de datos por otros interesados sobre los avances, una vez se TI

Fuente Rol del Área de protección Ejemplos de documentos
de datos
han terminado o llevado a Planes de continuidad del negocio
cabo a satisfacción las
actividades
Tabla 0.3 – Rol del Área de protección de datos en la producción de documentación
La Error! Reference source not found. describe como la documentación formal o informal puede ser
producida, influenciada o recolectada por el área de protección de datos como Evidencia de las Actividades
de gestión de información
Actividades de gestión de Evidencia/ Documentación Fuente/Rol Formal/ Informal

información
Mantenga una política de Política de Protección de Producida por el Área de Formal
protección de datos Datos Protección de Datos
personales
Integre la protección de Política y procedimiento de Influenciado por el Área de Formal
datos en las monitoreo de correos Protección de Datos
políticas/procedimientos electrónicos Producido por el Área de
de acceso a las cuentas Tecnologías de la Información
corporativas de correo
electrónico de los
empleados (ej. vacaciones,
permisos, terminación)
Mida la participación en Informe generado por el Recolectado por el Área de Informal
las actividades de sistema de resultados del Protección de Datos
entrenamiento en examen de protección de Producido por Recursos
protección de datos (ej. datos Humanos
número de participantes,
resultados)
Ponga a disposición el Ejemplos de comunicaciones Influenciado por el área de Informal
aviso de privacidad en las de marketing vía correo protección de datos
comunicaciones de electrónico Producido por Marketing
marketing (ej. correos
electrónicos, folletos,
ofertas)
Frecuencia: Las Actividades de Gestión de Información son permanentes

Las organizaciones responsables no ven la protección de datos como un proyecto, aunque en muchos casos
la gestión de datos personales puede iniciar como un proyecto. Por el contrario, una organización realmente
responsable asigna recursos a la gestión de protección de datos y continuamente revalúa las necesidades de
dicha gestión para asegurar que las actividades de gestión de información se encuentran debidamente
alineadas.
Un Programa de Protección de datos nunca debe ser considerado una actividad concluida; requiere
de una evaluación y revisión permanente para que sea efectivo y relevante. Los diferentes elementos

deben ser monitoreados y evaluados constantemente y actualizados. – Entendiendo la
responsabilidad demostrada22.
La gestión de datos personales es un conjunto de actividades de gestión de información permanentes que se

llevan a cabo en forma periódica o continua.
 Las actividades periódicas se llevan a cabo con una frecuencia establecida, p.ej., trimestral o anual.
Estas actividades son tratadas como proyectos o tareas con un principio y un final definido.
 Las actividades continuas son operaciones incorporadas en las operaciones diarias. Frecuentemente
estas actividades se llevan a cabo en forma repetitiva, haciendo los ajustes continuos dirigidos a
lograr el resultado deseado.
La Tabla 0.5 analiza los dos enfoques de frecuencia de las actividades de gestión de información para
mostrar sus diferencias:
Actividad de Gestión de Periódica Continua

Información
Mantenga diagramas de flujo Anualmente, requiera que el área Como parte de los requisitos del
para los flujos de datos interesada revise los diagramas de flujo proyecto de gestión, establezca que los
personales (ej. entre sistemas, para detallarlos y actualizarlos como cambios propuestos al flujo de datos y
entre procesos, entre países) sea necesario los diagramas de flujo sean
actualizados como condición del visto
bueno del proyecto.
Mida la participación en las Cada trimestre revise los reportes Configure los sistemas de educación en
actividades de entrenamiento generados por el sistema de línea para generar alertas que indiquen
en protección de datos (ej. capacitación en línea para determinar cuando un empleado no ha
número de participantes, si los empleados han completado su completado su entrenamiento en el día
resultados) capacitación asignado y envíe un mensaje al gerente
recomendando su seguimiento
inmediato
Involucre en los asuntos de Establezca un comité de protección de Cree un correo electrónico o grupo de
protección de datos a las partes datos con funciones cruzadas entre las discusión para las diferentes áreas
interesadas dentro de la áreas interesadas (p.ej. TI, Marketing, interesadas en protección de datos,
organización (ej. seguridad de la Legal, RRHH, etc.) quienes se reunirán con el propósito de facilitar la
información, marketing, etc.) cada trimestre para discutir temas de comunicación en dichos temas.
protección de datos
Mantenga procedimientos para Revise mensualmente los reportes de Configure un sistema de Recursos
restringir el acceso a los usuarios activos del sistema para Humanos para enviar alertas al Área de
información personal (ej. acceso garantizar que su acceso sigue siendo Seguridad de Información cuando los
basado en roles o separado apropiado y se cierren las sesiones empleados son despedidos o cuando se
según funciones) correctamente modifica el título de su posición,
departamento o estructura de reporte
La decisión de si una actividad se debe llevar a cabo en forma periódica o continua depende de diferentes
factores. Las actividades periódicas pueden fomentar estructuras, mientas que las actividades continuas
pueden generar una cobertura más completa y prevenir el riesgo.
22
Oficina del Comisionado de Información y Privacidad de Alberta. (2012). Entendiendo la Responsabilidad Demostrada con un Programa de
Protección de Datos. Alberta, Canadá.

La organización que ha incorporado la responsabilidad, el control y la evidencia en su programa de
protección de datos ha implementado una aproximación de responsabilidad demostrada y está lista para
demostrar dicha responsabilidad cuando sea necesario.

Manual Cumplimiento Legal

Cargado por

Copyright:

Formatos disponibles

Manual Cumplimiento Legal

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual Cumplimiento Legal

Cargado por

Copyright:

Formatos disponibles

Manual Nymity para Demostrar el Cumplimiento Legal:

una aproximación estructurada a la gestión de protección de datos

Incentivos para Demostrar el Cumplimiento Legal ..............................................................................................4

Manual para Demostrar el Cumplimiento Legal: 2 Copyright© 2016 Nymity Inc.

 Las reglas de protección de datos;

Sección 1: Demostrar el Cumplimiento Legal

1. Reglamento General de Protección de Datos de la UE4

La demostración del cumplimiento legal aparece múltiples veces en el Reglamento europeo:

Artículo 5: Principios relativos al tratamiento de datos personales

Artículo 22: Responsabilidad del Responsable

Manual para Demostrar el Cumplimiento Legal: 4 Copyright© 2016 Nymity Inc.

3. Alcanzar las expectativas de las autoridades de protección de datos

Objetivos para demostrar el Cumplimiento Legal

Colombia, Guía para la Implementación del Principio de Responsabilidad Demostrada

Manual para Demostrar el Cumplimiento Legal: 5 Copyright© 2016 Nymity Inc.

Aproximación al Cumplimiento Legal basada en un estándar de Responsabilidad Demostrada

La organización ha adoptado un verdadero estándar de responsabilidad demostrada cuando tres

 Responsabilidad: las actividades de gestión de información7 apropiadas se han implementado y se

Manual para Demostrar el Cumplimiento Legal: 6 Copyright© 2016 Nymity Inc.

Ejemplo: Incidente de seguridad/brecha de datos personales

En muchas jurisdicciones, se requiere que las organizaciones le reporten a la Autoridades de

Sin embargo, la mayoría de las organizaciones entienden el riesgo y el impacto de un incidente y en

 Responsabilidad /Control: el Área de Protección de Datos establece los planes de respuesta a

Ejemplo: Retención de datos

Manual para Demostrar el Cumplimiento Legal: 7 Copyright© 2016 Nymity Inc.

 Responsabilidad/control: El Área de Protección de Datos analiza los requerimientos de las

¿Cómo demostrar el cumplimiento legal usando una aproximación basada en la

La Responsabilidad (mantener las actividades de gestión de información apropiadas) y el Control (distribuir

El área de protección de datos prueba la responsabilidad demostrada mediante la recolección de Evidencia

Paso 2: Demuestre el cumplimiento legal mediante la Contextualización de la evidencia

Usando el Cuaderno de Evidencias, el Área de Protección de Datos ha creado un índice de la documentación

El contexto en protección de datos incluye:

2. Prácticas en el Tratamiento de Datos

3. Gestión de protección de datos

4. Riesgo de protección de datos

Actividad de Gestión de Información: Mantenga una política de protección de datos

Evidencia: Política de protección de datos personales

Contexto: Reglas, Tratamiento de datos, Gestión de Protección de Datos

en el Marco Nymity de Gobernanza en Privacidad y Protección de Datos Personales™.

en Privacidad y Protección de Datos Personales™.

Manual para Demostrar el Cumplimiento Legal: 10 Copyright© 2016 Nymity Inc.

Evidencia: Materiales de entrenamiento en protección de datos

Contexto: Gestión de Protección de Datos

Evidencia: Guiones de los Call Centers

Contexto: Regalas, Gestión de Protección de Datos

Evidencia: Capturas de pantalla del CRM

Contexto: Tratamiento de Datos

Evidencia: Consulta al área de protección de datos

Gobernanza en Privacidad y Protección de Datos Personales™.

Manual para Demostrar el Cumplimiento Legal: 11 Copyright© 2016 Nymity Inc.

Evidencia: Resultados de las auditorías

Contexto: Gestión de Protección de Datos, Riesgo de Protección de Datos

Manual para Demostrar el Cumplimiento Legal: 12 Copyright© 2016 Nymity Inc.

Manual para Demostrar el Cumplimiento Legal: 13 Copyright© 2016 Nymity Inc.

Visualización automática – Accountability Scorecard

1. Línea de Estado de Gestión del Programa (línea

2. Línea de cumplimiento (Línea verde)

Manual para Demostrar el Cumplimiento Legal: 14 Copyright© 2016 Nymity Inc.

Beneficios de usar el Cuaderno de Evidencias y el resultante Scorecard