RESPONSABILIDAD DEMOSTRAD

1. ETAPA. COMPR

1.1 DESDE LA ALTA DIRECCIN

1.2 OFICIAL DE PROTECCIN

DE DATOS PERSONALES

1.3 PRESENTACIN DE
INFORMES

2. CONTR
2.1 PROCEDIMIENTOS
OPERACIONALES

2.2 INVENTARIO DE LAS

BASES DE DATOS CON
INFORMACIN PERSONAL

2.3 POLTICAS

2.4 SISTEMA DE
ADMINISTRACIN DE
RIESGOS ASOCIADOS AL
TRATAMIENTO DE DATOS
PERSONALES

2.5 REQUISITOS DE
FORMACIN Y EDUCACIN

2.5 REQUISITOS DE
FORMACIN Y EDUCACIN

2.6 PROTOCOLOS DE
RESPUESTA EN EL MANEJO DE
VIOLACIONES E INCIDENTES

2.7 GESTIN DE LOS

ENCARGADOS DEL
TRATAMIENTO EN LAS
TRANSMISIONES
INTERNACIONALES DE DATOS
PERSONALES

2.8 COMUNICACIN EXTERNA

EVALUACIN
A. DESARROLLAR UN PLAN
DE SUPERVISIN Y REVISIN

B. EVALUAR Y REVISAR LOS

CONTROLES DEL PROGRAMA

RESPONSABILIDAD DEMOSTRADA EN PROTECCIN DE DATOS PERSONALE

1. ETAPA. COMPROMISO DE LA ORGANIZACIN
1.Designar a una persona o al rea que asumir la funcin de proteccin de datos dentro de
2. Aprobar y monitorear el Programa Integral de Gestin de Datos Personales
3. Informar de manera peridica a los rganos directivos sobre su ejecucin
4. Definir responsabilidades especficas para otras reas de la organizacin respecto de la re
y eliminacin o disposciones final de los datos personales que se tratan
5. Estructurar, disear y administrar el programa
6. Establecer los controles del programa, evaluacin y revisin permanente
7. Promover la elaboracin e implementacin de un sistema que permita administrar los ries
8. Coordinar la definicin e implementacin de los controles del Programa Integral de Gestin
9. Servir de enlace y coordinador con las dems reas de la organizacin para asegurar una
10.Impulsar una cultura de proteccin de datos personales dentro de la organizacin
11. Mantener un inventario de las bases de datos personales en poder de la organizacin y c
12. Registrar las bases de datos de la organizacin en el RNBD y actualizar el reporte atendie
13. Obtener declaraciones de conformidad
14. Revisar contenidas de los contratos de transmisiones internacionales de datos que se sus
Colombia
15. Analizar la responsabilidad de cada cargo de la organizacin, para disear un programa d
personales especificos para cada uno de ellos
16. Realizar un entrenamiento general en proteccin de datos personales para todos los emp
17. Realizar el entrenamiento necesario a los nuevos empleados que tengan acceso por las c
gestionardos por la organizacin
18. Integrar las polticas de proteccin de datos dentro de las actividades de las dems reas
centers y gestin de proveedores, etc)
19. Medir la participacin, y calificar el desempeo, en los entrenamientos de proteccin de d
20. Requerir que dentro de los anlisis de desempeo de los empleados, se encuentre haber
entrenamiento sobre protecicn de datos persoanles
21.Velar por la implementacin de los planes de auditoria interna para verificar el cumplimie
informacin personal
22. Acompaar y asistir a la Organizacin en la atencin de las visitas y los requerimientos q
23. Realizar seguimiento al Programa Integral de Gestin de Datos Personales
24. Definir de manera clara la estructura de generacin de reportes. Esto implica saber que e
asignar responsabilidades claras en el evento de una queja o de una violacion a los cdigos d
25. Documentar el proceso de generacin de reportes como parte del Programa
26. Generar reportes para los accionistas o socios de manera peridica, e inforamr en estos e
datos personales
2. CONTROLES DEL PROGRAMA

27. Procedimientos administrativos consistentes con las polticas generales de proteccin de

adecuadamente los riesgos inherentes al tratamiento de la informacion personal dentro de la

28. Conocer los datos que almacenan, cmo los utilizan y si realmente los necesitan, teniend
recolectan
29. Identificar en que parte del procedimiento o actividad se obtienen los datos, si deben sol
si estn conservando prueba de la misma para su posterior consulta
30. En caso de manejo de datos de NNA implementar medidas adecuadas para garantizar la
31. Asegurarse de que se est informando al titular o a quien corresponda (datos de menore
tales datos. La clasificacin de la informacin recopilada por la compaa, por ejemplo, en se
ayuda a tener un inventario efectivo de los datos tratados por la empresa
32. Las polticas deben implementar los principios que rigen el Tratamiento de Datos Persona
deben documentar los procedimientos para la recoleccin o recopilacin, el mantemiento, us
datos personales. Se deben establecer reglas sobre los siguientes puntos:
33. La recoleccin, almacenamiento, uso, circulacin y supresin o disposicin final de la info
obtener la autorizacin
34. El acceso y correccin de los datos personales
35. La conservacin y eliminacin de la informacin personal
36. El uso responsable de la informacin, incluyendo controles de seguridad administrativos,
37. Inclusin en todos los medios contractuales de la empresa de una clusula de confidenci
afirme que se conoce a suficiencia la poltica de la empresa, se acepta, y se permite a la com
responsable
38. Presentacin de quejas y reclamos
39. Si hay otras polticas de la organizacin (en talento humano, contratos, transparencia) el
normas
de proteccin
de datos
personales
40. Identificacin
y manejo
de riesgos
asociados al tratamiento de datos personales a travs
acorde con su estructura organizacional, sus procesos y procedimientoss internos asociados
cantidad de bases de datos y tipos de datos personales tratados por la empresa. Este sistem
monitorear todos aquellos hechos o situaciones que puedan incidir en la debida administraci
desarollo del cumplimiento de las normas de proteccin de datos personales.
41. Identificacin. Establecer los riesgos a que se ven expuestos los datos personales en des
42. Documentar los procesos y procedimientos que se implementen dentro del ciclo de vida
43. Definir la metodologa de identificacin de riesgos asociados al tratamiento de la ifnroaci
44. Identificar los riesgos e incidentes ocurridos, respecto de este tipo de informacin, en los
45. Medicin. Tiene por objeto determinar la posibilidad de ocurrencia de los riesgos relacion
y su impacto en el caso de materializarse
46. Control. Se relaciona con las acciones que se deben tomar para controlar y/o mitigar los r
personales, con el fin de disminuir la posibilidad y /o las consecuencias de su materializacin
es preciso establercer, al menos, si son sfuciientes, efectivos y oportunos, como tambin ide
manuelaes, autonmaticos, discreaciales, obligatirooios, preventiocos, o correctivos
47. Monitoreo. Realizar un seguimiento constante para velar por las medidas que se hayan e
48. Llevar una registro de incidentes que contemple: base de datos y datos comprometidos,
descurbimiento, acciones correctivas realizadas y responsables.
49. Se debe evaluar los riesgos peridicamente e implementar estas evaluaciones en toda la
que involucre datos persoanels

50. Impartir una formacin de carcter general y particular al personal que maneje datos per

51. Dentro de los contratos que suscriban los empleados, se deben incluir acuerdos de cump
por los sujetos obligados
52. Gestin de riesgos internos y externos, que le permitan identificar sus vulnerabilidades a
ra responsable de manejar los incidente so vulneraciones a los stiestema de informacion o a
53. Mecanismos para rendir informes internos y reportar los incidentes a los titulares y a la S
les permitan comunicarse de manera eficiente con los titulraes afectados, sobre el incidente
personales y las posibles consecuencias, y proporcionar herremiantas a dichos titulares afect
causado.
54. Se debe informar como minimo, el tipo de incidente, la fecha en que ocurri,y la fecha en
causal, el tipo de datos pesonales comprometidos y la cantidad de titulares afectados.
55. Disposiciones que incluyan requisitos para que los encargados cumplan con las normas c
politicas de tratamietno
56. Mecanismos para que el Encargado reporte al Responsable los incidentes de seguridad d
57. Formacin y educacin en temas de proteccin de datos personales para los empleados
informacin personal
58. Exigencia de adherencia a las polticas de tratamiento si se utilizan subcontratistas
59. Realizacin de auditorias internas y/o externas

60. Acuerdos con los encargados y sus empleados aceptando que cumplirn con las polticas
61. Procedimiento para informar a los titulares sus derechos, de acuerdo con lo establecido e
programas de control que se han implementado. Las comunicaciones dirigidas a los titulares
limitarse a una simple repeticin de la ley
EVALUACIN Y REVISIN CONTINUA

62.El oficial de proteccin de Datos debe desarrollar un plan de supervisin y revisin anual.
desempeo e incluir un calendario de cundo deben ser revisadas las polticas y los controle

63. El monitoreo es un proceso continuo que debe abordar por lo menos las siguientes pregu
tratamiento de daots personales detectados en la organizacin, los controles del programa e
amenazas y reflejadno las qujeas ms recientes o los hallazagos de las auditorias, o las orien
datos, se estan ofreciendo nuevos servicios que involucran una mayor recoleccin, uso o div
llevando a cabo capacitacion eficaz, se estan siguiendo las polticas y procedimientos, y el pr