La Superintendencia de Protección de Datos Personales (SPDP) ha expedido la Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales, en cumplimiento con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RGLOPDP).
Puntos Clave de la Resolución
- Objeto: Aprobar la Guía de Gestión de Riesgos y Evaluación de Impacto, con el fin de asegurar el adecuado tratamiento de los datos personales, especialmente en lo referente al análisis de riesgos y la evaluación de impacto, conforme a la normativa vigente.
- Obligatoriedad:
- El Capítulo I de la Guía es de cumplimiento obligatorio para responsables y encargados del tratamiento de datos personales.
- El Capítulo II es de carácter referencial y orientativo, permitiendo la adopción de metodologías propias, siempre que se cumpla la obligación legal de gestionar riesgos y evaluar el impacto.
- Revisión y mejora continua: La Intendencia de Innovación Tecnológica revisará y evaluará el contenido de la Guía dentro del plazo de un año a partir de su publicación en el Registro Oficial, garantizando su actualización y mejora permanente.
Estructura de la Guía
- Capítulo I: Principios Fundamentales
- Fundamentos y objetivos de la gestión de riesgos.
- Integración de riesgos de seguridad de la información y protección de datos personales.
- Rol de los estándares de mejores prácticas.
- Justificación y uso de análisis cuantitativos y cualitativos.
- Principios de auditoría y conformidad.
- Tipos y características de vulneraciones a la seguridad de los datos personales.
- Capítulo II: Procedimientos por Etapas
- Establecimiento del contexto y criterios de evaluación.
- Identificación de datos, amenazas y vulnerabilidades.
- Modelado y análisis de riesgos.
- Evaluación de impacto del tratamiento de datos personales.
- Tratamiento, monitoreo y control de riesgos.
- Incluye un anexo con ejemplo práctico de formato de evaluación de impacto.
Disposición General
- Revisión anual: En el plazo de un año desde la publicación oficial, la Intendencia de Innovación Tecnológica revisará el contenido de la Guía y elaborará un informe técnico para el Superintendente de Protección de Datos Personales, asegurando la mejora continua del documento.
Resumen:
La SPDP expidió la Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales, estableciendo lineamientos obligatorios y referenciales para responsables y encargados. La guía busca fortalecer la protección de datos personales mediante una gestión de riesgos sistemática y una evaluación de impacto, en cumplimiento con la LOPDP y su reglamento. La Intendencia de Innovación Tecnológica realizará una revisión anual para garantizar su actualización y pertinencia
Consejo Editorial