Alcance
La presente Privacidad de la Información y del Sistema de Gestión de Privacidad de la Información (SGPI) se aplica a toda la organización, socios comerciales, clientes, proveedores, accionistas y/o cualquier organización o persona que acceda a la información de DLYA.
Para DLYA la Privacidad de la Información y del Sistema de Gestión Privacidad de la Información (SGPI) es el eje central en el que se debe integrar la privacidad en los métodos de administración de proyectos de la organización de forma de asegurar la identificación y el abordaje de los riesgos de privacidad de la información como parte de los proyectos, sin importar su carácter, todas las políticas de más bajo nivel, procedimientos, instructivos y planes desarrollados a partir de este documento deben comunicarse y aplicarse en todas las fases del ciclo de vida de la información asegurando así todos los sistemas e infraestructuras tecnológicas implícitas y las instalaciones que los soportan.
Responsabilidades
Responsable | Descripción de las Responsabilidades |
Directorio | Corresponde al Gerente General, por delegación del Directorio, aprobar la política de referencia. |
Gerencia General |
Definir los lineamientos y comunicar la obligatoriedad de cumplimiento de las políticas de Seguridad de la Información y privacidad, sus estándares y procesos asociados. |
Área de Seguridad y la Privacidad de la información. | Gestionar el Sistema de Gestión de Seguridad y Privacidad de la Información (SGSPI), cumplir y hacer cumplir la presente política y documentos relacionados, interna y externamente.
Establecer y mantener la Política de Seguridad y Privacidad de la Información, sus estándares y procesos asociados y verificar su efectivo cumplimiento, informando al Representante de la Dirección, e implementar las auditorías correspondientes. |
Responsable | Descripción de las Responsabilidades |
Oficial de Privacidad de Datos | Asegurar la existencia, actualización y mejora del conjunto de normas requeridas para el resguardo del patrimonio de la organización y el cumplimiento de procedimientos privacidad conforme a requisitos internos y externos.
Definir acciones de control sobre los sistemas de información de la organización, controlar y acompañar su efectiva implementación en conjunto con el área de Soporte e infraestructura Operativa. Definir estándares de seguridad y privacidad sobre los activos de información y ejecutar acciones de control y monitoreo sobre los mismos acordes a la criticidad de cada uno, asignando diferentes periodicidades de control según la criticidad identificada para cada activo de la organización. Notificar los desvíos identificados durante las acciones de control y monitoreo al responsable del activo involucrado y definir acciones de remediación de forma de evitar futuros desvíos. Gestionar el proceso de administración de los riesgos informáticos en conjunto con los Dueños de los activos de información, elevar al directorio las posibles acciones de mitigación de cada uno, y acompañar con las áreas responsables los planes de mitigación aprobados por la alta gerencia. |
Soporte e Infraestructura Operativa | Asegurar la conformidad de las tecnologías de información con las políticas y procesos de DLYA.
Investigar, resolver y documentar los incidentes de Seguridad Y Privacidad en conjunto con el Área de Seguridad y Privacidad de la información. Implementar las distintas soluciones de Seguridad de la información y privacidad en la organización en conjunto con el Área de Seguridad y Privacidad de la información, asegurando su buen funcionamiento. Administrar y colaborar con la actividad de los operadores, administradores y especialistas de las plataformas tecnológicas. Poner en conocimiento al Área de Seguridad y Privacidad de la información del incumplimiento de esta política. |
Ingeniería de Sistemas | Apoyar las acciones efectuadas por el departamento de Soporte e Infraestructura Operativa y asesorar a la Gerencia General. |
Gerentes | Conocer, cumplir y hacer cumplir la presente política interna y externamente.
Asegurar que los procesos de operación del negocio cumplan con esta política. Asegurar la existencia, actualización y mejora del conjunto de normas requeridas para el resguardo del patrimonio de la organización y el cumplimiento de procedimientos de seguridad y privacidad conforme a requisitos internos y externos. |
Responsable | Descripción de las Responsabilidades |
Dueño de los Activos de Información | Los propietarios de la información deben verificar su integridad y velar por que se mantenga la disponibilidad y confidencialidad de la misma. Además, éstos serán los encargados de clasificar la información y autorizar su acceso a terceros en caso de ser necesario.
Clasificar los riesgos informáticos dentro del marco de administración de riesgos estipulado por el responsable de Seguridad y Privacidad de la Información, acompañar/defender ante el directorio las posibles acciones de mitigación. |
Gerentes, jefes y Responsables | Conocer, cumplir y hacer cumplir la presente política interna y externamente. |
Personal y Colaboradores | Cumplir con las políticas de Seguridad y Privacidad de la Información y promover en sus pares la conciencia de seguridad y privacidad para que sea aplicada por todo el personal.
Informar a su superior y al responsable del Sistema de Gestión de Seguridad y Privacidad de la Información del incumplimiento de esta política por parte de uno de sus pares. |
Definiciones Generales
La Privacidad de la Información se entiende como la preservación de las siguientes características:
- Privacidad de la Información: proteger de la privacidad en el contexto del procesamiento de los datos de la información de identificación de las personas (PII) en uso en DLYA y los métodos de procesamiento aplicados.
- Confidencialidad: Garantiza que la información sea accesible solo por personas autorizadas a acceder a la misma.
- Integridad: Salvaguarda la inalterabilidad de la información generada a través de los sistemas y herramientas informáticas en uso en DLYA y los métodos de procesamiento aplicados.
- Disponibilidad: Garantiza que la información y sus servicios de acceso estén disponibles para que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
- Autenticidad: Asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades.
- Trazabilidad: Define que todos los eventos de un sistema deben poder ser registrados para su control posterior.
- Protección a la duplicación: Asegura que una transacción sólo se realiza una vez, a menos que se especifique lo contrario.
- No repudio: Se refiere a evitar que una entidad que haya enviado o recibido información reclame ante terceros que no la envió o recibió.
- Legalidad: Referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeta DLYA.
- Confiabilidad de la Información: La información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones.
- Información: Se refiere a toda comunicación o representación de datos, en cualquier forma y medio.
- Tecnología de la Información: Se refiere al hardware y software operados por DLYA y/o por un tercero que procese información en su nombre
Principios de la Política de Privacidad de la Información
La presente Política responde a las recomendaciones de las mejores prácticas de Seguridad de la Información recogidas en el Estándar Internacional ISO/IEC 27001 y su Anexo A, así como ISO/IEC 27002, el marco de referencia para operar de acuerdo con las regulaciones globales de privacidad de datos brindados por la norma ISOIEC 27701 y al cumplimiento de la legislación vigente en materia de protección de datos personales.
Además, establece los siguientes principios básicos como directrices fundamentales de privacidad de la información que han de tenerse siempre presentes en cualquier actividad relacionada con el tratamiento de información y protección de datos personales:
- Alcance estratégico: La seguridad, privacidad de la información y protección de datos personales deberá contar con el compromiso y apoyo de todos los niveles directivos de DLYA de forma que pueda estar coordinada e integrada con el resto de las iniciativas estratégicas para conformar un marco de trabajo completamente coherente y eficaz.
- Seguridad, Protección de datos y Privacidad integral: Entendiéndolos como un proceso integral constituido por elementos tecnológicos, humanos, materiales y organizativos, evitando, salvo casos de urgencia o necesidad, cualquier actuación puntual o tratamiento coyuntural. La seguridad, privacidad de la información y protección de datos personales deberán considerarse como parte de la operativa habitual, estando presente y aplicándose durante todo el proceso de diseño, desarrollo y mantenimiento de los sistemas de información.
- Gestión de riesgos: El análisis y gestión de riesgos será parte esencial del proceso de seguridad, privacidad de la información y protección de datos personales. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables (Niveles de aceptación definidos en Política de Gestión de Riesgos). La reducción de estos niveles se realizará mediante el despliegue de medidas, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, el impacto y la probabilidad de los riesgos a los que están expuestos, la eficacia y el coste de las medidas de gestión.
- Proporcionalidad: El establecimiento de medidas de protección, detección y recuperación deberá ser proporcional a los potenciales riesgos y a la criticidad y valor de la información de los servicios afectados.
- Mejora continua: Las medidas de seguridad, privacidad de la información y protección de datos personales se evaluarán y actualizarán periódicamente para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección. La seguridad de la información será atendida, revisada y auditada por personal calificado.
- Seguridad por defecto: Los sistemas deberán diseñarse y configurarse de forma que garanticen un grado proporcionalmente aceptable de seguridad privacidad de la información y protección de datos personales por defecto.
Derechos según ISO 27701
- Derecho a la Transparencia: Los titulares de datos tienen derecho a conocer cómo se recopilan, utilizan y gestionan sus datos personales.
- Derecho de Acceso: Los titulares de datos tienen el derecho de acceder a la información personal que una organización tiene sobre ellos.
- Derecho a la Rectificación: Si la información personal es inexacta o incompleta, los titulares de datos tienen el derecho de solicitar su corrección.
- Derecho al Olvido (Derecho de Supresión): Los titulares de datos tienen el derecho de solicitar la eliminación de sus datos personales en determinadas circunstancias.
- Derecho a la Limitación del Tratamiento: Los titulares de datos pueden solicitar la limitación del procesamiento de sus datos en ciertas situaciones.
Derechos según GDPR
- Derecho de Acceso (Artículo 15): Los titulares de datos tienen derecho a obtener confirmación de si se están procesando sus datos personales y, en ese caso, acceso a dichos datos.
- Derecho a la Rectificación (Artículo 16): Los titulares de datos tienen derecho a obtener la rectificación de datos personales inexactos.
- Derecho al Olvido (Artículo 17): También conocido como derecho de supresión, permite a los titulares de datos solicitar la eliminación de sus datos personales bajo ciertas condiciones.
- Derecho a la Limitación del Tratamiento (Artículo 18): Los titulares de datos pueden solicitar la restricción del procesamiento de sus datos en ciertas circunstancias.
- Derecho a la Portabilidad de Datos (Artículo 20): Los titulares de datos tienen derecho a recibir los datos personales que les incumben y transmitirlos a otro controlador.
- Derecho de Oposición (Artículo 21): Los titulares de datos pueden oponerse al procesamiento de sus datos personales en ciertas circunstancias, incluido el marketing directo.
- Derecho a no ser objeto de decisiones individuales automatizadas (Artículo 22): Los titulares de datos tienen el derecho de no estar sujetos a decisiones basadas únicamente en el procesamiento automatizado.