Como cualquier otro sistema de gestión, el de cumplimiento de la normativa de privacidad, debe estar basado en el Ciclo de Deming o de Mejora Continua (PDCA/PHVA), Planificar, Hacer, Verificar y Actuar.
De este modo una vez llevada a cabo la planificación e implantación el sistema (Planificar y Hacer), se debe revisar periódicamente (Verificar), para actualizarlo, corregir sus deficiencias (Actuar), y conseguir con cada revisión un mayor grado de madurez de nuestro sistema, y por tanto una mayor efectividad del mismo.
En el documento adjunto proponemos, a grandes rasgos y sin entrar en profundidad en cada una de ellas, una serie de acciones que deberíamos acometer en las fases de planificación e implantación de nuestro sistema de cumplimiento de la normativa de privacidad.
Por supuesto no es esta una lista cerrada, ya que cuanta más proactividad acreditemos, más efectivo será nuestro sistema.
Además la planificación e implantación deberán ser complementadas para el cierre del ciclo con las verificaciones (auditorías) y actuaciones (medidas correctoras, recomendaciones de mejora…).
Estos elementos y actuaciones, que desarrollamos en el documento adjunto son:
- Registro de las actividades de tratamiento – ficheros – (RAT)
- Gestión de riesgos: análisis, evaluación y tratamiento
- Política de seguridad
- Protocolos de actuación:
- Información del tratamiento
- Consentimientos de los interesados
- Tratamientos datos categoría especial
- Derechos interesados
- Derechos digitales
- Brechas o violación de seguridad
- Otros registros:
- Inventario de activos de información
- De brechas o violación de seguridad
- De ejercicio de derechos
- De salida de soportes
- Formularios:
- Ejercicio derechos
- Notificación brechas o violación de seguridad
- Contratos de confidencialidad con los intervinientes en el tratamiento:
- Personas
- Empresas
- Clausulados:
- Avisos legales para el tratamiento
- Avisos legales web
- Designaciones:
- DPO
- Comité de Privacidad
- Responsable de Privacidad