Sistema de Gestión de Seguridad de Datos Personales
Un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) es un conjunto de políticas, procedimientos y controles diseñados para proteger los datos personales que una organización maneja.
El objetivo principal del SGSDP es garantizar la privacidad y seguridad de los datos personales, minimizando el riesgo de pérdida, robo o uso no autorizado.
El SGSDP se basa en principios como el consentimiento informado, la finalidad legítima, la minimización de datos, la calidad y exactitud, la seguridad y confidencialidad, entre otros.
La implementación del SGSDP es voluntaria pero puede ser obligatoria en algunos países o sectores específicos.
La fase 1 de un Sistema de Gestión de Seguridad de Datos Personales (SGSDP) es la Planificación.
En esta fase, se establece el alcance y los objetivos del SGSDP, se define la política de gestión de datos personales y las funciones y obligaciones de las personas que tratan los datos, se elabora el inventario de datos personales y se realiza el análisis de riesgos, una vez identificados éstos se definen las medidas de seguridad que serán requeridas para el tratamiento de los riesgos identificados y se realiza el análisis de brecha.
En la fase 2 se implementan y operan las políticas, objetivos, procesos y procedimientos del SGSDP así como sus controles o mecanismos con indicadores de medición.
La fase 3 consiste en evaluar y medir el cumplimiento del proceso de acuerdo con la legislación de protección de datos personales, la política, los objetivos y la del SGSDP, e informar los resultados a la Alta Dirección para su revisión.
En la fase 4 se adoptan medidas correctivas y preventivas, en función de los resultados obtenidos de la revisión por parte de la Alta Dirección, las auditorías al SGSDP y de la comparación con otras fuentes de información relevantes, como actualizaciones regulatorias, riesgos e impactos organizacionales, entre otros. Adicionalmente, se debe considerar la capacitación del personal.
El INAI ha publicado la Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales que describe a detalle cada una de las actividades necesarias para la implementación del sistema de gestión en una organización.