4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

Transcripción

1 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar, revisar, mantener, y mejorar forma continua un sistema documentado gestión para la protección contra eventos disruptivos en la organización. N Requerimiento normativo RESPONSABLE Factores internos y externos 4 Contexto la Organización. la organización que afectan la implementación y operación un sistema gestión la continuidad l Compromiso la organización 1 Los responsables en el tratamiento datos personales, berán observar los principios licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. Art. 6 Art Recomendación General. 5 Lirazgo. 6 Planeación. para la implementación y operación un sistema gestión la continuidad l Establecimiento objetivos la continuidad l negocio y planeación acciones para alcanzarlos. Componentes necesarios para 7 Soporte. la implementación un sistema gestión la continuidad l 235

2 Procesos necesarios para la 8 Operación. operación un sistema gestión la continuidad l Actividas para el monitoreo, 9 Evaluación sempeño. medición, análisis, y evaluación l sempeño un sistema gestión la continuidad l Atención no conformidas 10 Mejora. l sistema gestión la continuidad l negocio para su mejora continua. LICITUD Y LEALTAD Los datos personales berán recabarse y tratarse manera lícita, privilegiando la protección los intereses l titular y la 2 expectativa razonable privacidad, sin importar la fuente la que se obtienen los datos. Art. 7 Art. 7 Art. 10 Art. 44 Paso 1. Alcance y Objetivos. La obtención datos personales no be hacerse a través medios engañosos o fraudulentos. CONSENTIMIENTO 236

3 El tratamiento datos personales estará sujeto al consentimiento su titular, salvo las excepciones previstas por la Ley. 3 Los datos financieros o patrimoniales requerirán consentimiento expreso su titular. Art. 8 Art. 11 Art. 12 Art. 15 Paso 2. Política Gestión Datos Cuando los datos personales se obtengan personalmente o manera directa su titular, el consentimiento berá ser previo al tratamiento. El responsable berá facilitar al titular Paso 2. Política 4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestión Datos su consentimiento expreso. Tratándose datos personales sensibles, el responsable berá obtener el consentimiento expreso y por escrito l titular para su tratamiento. Paso 2. Política 5 No podrán crearse bases datos que Art. 9 Art. 56 Gestión Datos contengan datos personales sensibles, sin que se justifique la creación las mismas para finalidas legítimas, concretas y acors con las actividas o fines explícitos que persigue el sujeto regulado. 6 Para efectos mostrar la obtención l consentimiento, la carga la prueba Art. 20 Implementación 237

4 recaerá, en todos los casos, en el las Medidas responsable. Cotidiano Medidas. INFORMACIÓN A través l aviso privacidad, el responsable tendrá la obligación informar a los titulares, los datos que recaba, las finalidas necesarias y las que no lo son para la relación jurídica, así como las características principales su tratamiento. Cuando se traten datos personales como Art. 14 Paso 2. Política 7 parte un proceso toma cisiones sin que intervenga la valoración una persona física, el responsable berá Art. 15 Art. 23 Art. 112 Gestión Datos informar al titular que esta situación ocurre. Si obtiene los datos manera automática, berá informar al titular sobre el uso estas tecnologías y la forma en que podrá shabilitarlas. 8 Cuando los datos personales sean obtenidos directamente l titular, el aviso privacidad be ponerse a disposición los Art. 3, I Art. 17 Art. 27 Implementación 238

5 titulares a través formatos impresos, las Medidas digitales, visuales, sonoros o cualquier otra tecnología. Cotidiano Medidas. 9 El aviso privacidad be contener un mecanismo, para que el titular pueda manifestar su negativa al tratamiento sus datos personales. Cuando los datos se obtengan manera indirecta l titular, el responsable berá darle a conocer el aviso privacidad y sus cambios. Art. 18 Art. 14 Art. 29 Art. 32 Implementación las Medidas Cotidiano Medidas Implementación Para efectos mostrar la puesta a las Medidas disposición l aviso privacidad en 10 cumplimiento l principio información, la Art. 31 carga la prueba recaerá, en todos los casos, en el responsable. Cotidiano Medidas 239

6 . CALIDAD 11 El responsable procurará que los datos personales contenidos en las bases datos sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento la finalidad para la cual son tratados. Art. 11 Art. 36 Paso 2. Política Gestión Datos 7.5 Información documentada. Documentación requerida y su manejo conformidad con los requerimientos l sistema gestión continuidad l Cuando los datos carácter personal hayan jado ser necesarios para el cumplimiento las finalidas previstas por el aviso privacidad y las disposiciones legales aplicables, berán ser cancelados, 12 previo bloqueo los mismos. El responsable la base datos estará obligado a eliminar la información relativa al Art. 3 III Art. 11 Art. 37 Paso 2. Política Gestión Datos 6.2 Objetivos continuidad l negocio y planes para alcanzarlos. Establecimiento objetivos continuidad l negocio así como responsables para su consecución. incumplimiento obligaciones contractuales, una vez que transcurra un plazo setenta y dos meses, contado a partir la fecha calendario en que se presente el mencionado incumplimiento. 240

7 Documentación requerida y su 13 El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión los datos personales. Art. 38 Paso 2. Política Gestión Datos 7.5 Información documentada. 8.3 Estrategia continuidad l manejo conformidad con los requerimientos l sistema gestión continuidad l Requerimientos y aspectos para la terminación la estrategia continuidad l Implementación las Medidas Documentación requerida y su 14 Al responsable le correspon mostrar que los datos personales se conservan, o en su caso, bloquean, suprimen o cancelan. Art Información documentada. manejo conformidad con los requerimientos l sistema gestión continuidad l Cotidiano Medidas. FINALIDAD El tratamiento datos personales berá limitarse al cumplimiento las finalidas previstas en el aviso privacidad. Art. 40 Paso 2. Política 15 Si el responsable preten tratar los datos Art. 12 Art. 42 Gestión Datos para un fin distinto al establecido, berá Art. 43 obtener nuevamente el consentimiento l titular. 241

8 El titular podrá oponerse o revocar su consentimiento para las finalidas distintas a las que dieron origen a la relación jurídica, sin que ello tenga como consecuencia la conclusión l tratamiento. PROPORCIONALIDAD El tratamiento datos personales será el que resulte necesario, acuado y relevante 16 en relación con las finalidas previstas en el aviso privacidad. En particular para datos personales sensibles, el responsable berá Art. 13 Art. 45 Art. 46 Paso 2. Política Gestión Datos limitar el periodo tratamiento al mínimo indispensable. CONFIDENCIALIDAD Actividas para el El responsable o terceros que intervengan en entendimiento las 17 cualquier fase l tratamiento datos personales berán guardar confincialidad respecto éstos, obligación que subsistirá aun spués finalizar sus relaciones con el Art. 21 Art. 9 Paso 2. Política Gestión Datos 4.2 Entendimiento las necesidas y expectativas las partes interesadas. necesidas y expectativas las partes interesadas en el sistema gestión continuidad l negocio titular o, en su caso, con el responsable. incluyendo aspectos regulatorios y legales. RESPONSABILIDAD 18 El responsable tiene la obligación velar y responr por el tratamiento los datos personales en su posesión, biendo adoptar las medidas necesarias. Art. 14 Art. 47 Paso 2. Política Gestión Datos 8.4 Establecimiento e implementación procedimientos continuidad l Procedimientos y sus características para la implementación los objetivos y planes 242

9 continuidad l El responsable berá tomar las medidas necesarias y suficientes para garantizar que el aviso privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guar alguna relación jurídica. Características los procesos 8.2 Análisis análisis impacto y impacto al negocio y evaluación l riesgo con Los responsables berán adoptar medidas Paso 5. Realizar el evaluación l riesgo. respecto a la continuidad l 19 para garantizar el bido tratamiento, privilegiando los intereses l titular y la Art. 14 Art. 48 Análisis Riesgo los Datos 8.4 Establecimiento e Procedimientos y sus expectativa razonable privacidad. implementación características para la procedimientos implementación los continuidad l objetivos y planes continuidad l negocio 20 Elaborar políticas y programas privacidad obligatorios y exigibles al interior la organización. Art I Paso 2. Política Gestión Datos 5.3 Política. Aspectos fundamentales que be contener la política continuidad l negocio la organización. 21 Poner en práctica un programa capacitación, actualización, y concientización l personal sobre las obligaciones en materia protección datos personales. Art II Paso 9. Mejora Continua y Capacitación. Capacitación. 7.3 Concientización. Concientización todos los responsables la organización para cumplir con los objetivos y planes continuidad l 243

10 Aspectos a consirar para el intercambio información 7.4 Comunicación. relacionada con el sistema gestión continuidad l negocio con las partes interesadas. Aspectos específicos a 9.1 Monitoreo, medición, análisis y evaluación. consirarse en los procesos monitoreo, medición, análisis, y evaluación l sempeño l sistema gestión Establecer un sistema supervisión y continuidad l 22 vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento las políticas privacidad. Art III Paso 8. Revisiones y Auditoría. 9.2 Auditoría interna. Consiraciones para llevar a cabo la auditoría interna l sistema gestión continuidad l Actividas y elementos la 9.3 Revisión gerencial. revisión gerencial al sistema gestión continuidad l Componentes necesarios para 23 Destinar recursos para la instrumentación los programas y políticas privacidad. Art IV Paso 3. Establecer Funciones y Obligaciones Quienes Traten 7 Soporte. 7.1 Recursos. la implementación un sistema gestión la continuidad l Intificación recursos necesarios para la implementación l sistema gestión continuidad l 244

11 24 Instrumentar un procedimiento para que se atienda el riesgo para la protección datos personales por la implementación nuevos productos, servicios, tecnologías y molos negocios, así como para mitigarlos. Art V Paso 5. Realizar el Análisis Riesgo los Datos 8.2 Análisis impacto al negocio y evaluación l riesgo. Características los procesos análisis impacto y evaluación l riesgo con respecto a la continuidad l Aspectos específicos a 9.1 Monitoreo, medición, análisis y evaluación. consirarse en los procesos monitoreo, medición, análisis, y evaluación l sempeño l sistema gestión 25 Revisar periódicamente las políticas y programas seguridad para terminar las modificaciones que se requieran. Art VI Paso 8. Revisiones y Auditoría. 9.2 Auditoría interna. continuidad l Consiraciones para llevar a cabo la auditoría interna l sistema gestión continuidad l Actividas y elementos la 9.3 Revisión gerencial. revisión gerencial al sistema gestión continuidad l 26 Establecer procedimientos para recibir y responr dudas y quejas los titulares los datos personales. Art VII Implementación las Medidas 245

12 Cotidiano Medidas. Responsabilidas en la 5.1 Lirazgo y organización para lograr los Disponer mecanismos para el Paso 3. Funciones y compromiso. objetivos y planes 27 cumplimiento las políticas y programas privacidad, así como sanciones por su Art VIII Obligaciones Quienes Traten continuidad l Responsabilidas la incumplimiento. 5.2 Compromiso gerencia para lograr los gerencial. objetivos y planes continuidad l 28 Establecer medidas para el aseguramiento los datos personales, es cir, un conjunto acciones técnicas y administrativas que permitan garantizar al responsable el cumplimiento los principios y obligaciones que establece la Ley y su. Art IX Paso 6. Intificación las medidas seguridad y Análisis Brecha. 8.3 Estrategia continuidad l 8.4 Establecimiento e implementación procedimientos continuidad l Requerimientos y aspectos para la terminación la estrategia continuidad l Procedimientos y sus características para la implementación los objetivos y planes continuidad l 29 Establecer medidas para la trazabilidad los datos personales, es cir acciones, medidas y procedimientos técnicos que permiten Art X Paso 6. Intificación las medidas 8.3 Estrategia continuidad l Requerimientos y aspectos para la terminación la estrategia continuidad l rastrear a los datos personales durante su seguridad y Análisis 8.4 Establecimiento e Procedimientos y sus tratamiento. Brecha. implementación características para la procedimientos implementación los 246

13 continuidad l objetivos y planes continuidad l 30 Todo responsable berá signar a una persona, o partamento datos personales, quien dará trámite a las solicitus los titulares, para el ejercicio los rechos a que se refiere la Ley. Asimismo fomentará la protección datos personales al interior la organización. Art. 30 Implementación las Medidas Cotidiano Medidas 5.4 Roles, responsabilidas, y autoridas organizacionales. Asignación y comunicación responsabilidas y autoridas ntro l sistema gestión continuidad l. SEGURIDAD Todo responsable que lleve a cabo tratamiento datos personales berá establecer y mantener medidas seguridad administrativas, técnicas y físicas que 8.3 Estrategia continuidad l Requerimientos y aspectos para la terminación la estrategia continuidad l 31 permitan proteger los datos personales contra daño, pérdida, alteración, strucción o el uso, acceso o tratamiento no autorizado. Art. 19 Art. 4 Art. 9 Paso 6. Intificación las medidas 8.4 Establecimiento e Procedimientos y sus No adoptarán medidas seguridad menores a aquellas que mantengan para el manejo su información. Art. 57 seguridad y Análisis Brecha. implementación procedimientos continuidad l características para la implementación los objetivos y planes continuidad l Cuando el encargado se encuentre ubicado en territorio mexicano, le serán aplicables las 247

14 disposiciones relativas a las medidas seguridad contenidas en el Capítulo III. El responsable terminará las medidas Determinación las acciones a seguridad aplicables a los datos personales 6.1 Acciones para llevar a cabo para abordar los que trate, consirando el riesgo existente, abordar los riesgos y riesgos y áreas oportunidad las posibles consecuencias para los titulares, las oportunidas. continuidad l negocio en la sensibilidad los datos y el sarrollo la organización. 32 tecnológico. De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos: I. El número titulares; II. Las vulnerabilidas previas ocurridas en los sistemas tratamiento; III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener Art. 19 Art. 60 Paso 5. Realizar el Análisis Riesgo los Datos 6.2 Objetivos continuidad negocio y planes para alcanzarlos. 8.3 Estrategia continuidad l Establecimiento los objetivos continuidad negocio la organización y terminación acciones y responsables para lograr dichos objetivos. Requerimientos y aspectos para la terminación la estrategia continuidad l los datos personales tratados para una tercera persona no autorizada para su posesión, y IV. Demás factores que puedan incidir en el nivel riesgo o que resulten otras leyes o regulación aplicable al responsable. 8.4 Establecimiento e implementación procedimientos continuidad l Procedimientos y sus características para la implementación los objetivos y planes continuidad l 248

15 8.4 Establecimiento e Procedimientos y sus 33 Elaborar un inventario datos personales y los sistemas tratamiento. Art I Paso 4. Elaborar un Inventario Datos implementación procedimientos continuidad l características para la implementación los objetivos y planes continuidad l 34 Determinar las funciones y obligaciones las personas que traten datos personales. Art II Paso 3. Establecer Funciones y Obligaciones Quienes Traten 5.4 Roles, responsabilidas, y autoridas organizacionales. Asignación y comunicación responsabilidas y autoridas ntro l sistema gestión continuidad l 35 Contar con un análisis riesgos datos personales que consiste en intificar peligros y estimar los riesgos a los datos personales. Art III Paso 5. Realizar el Análisis Riesgo los Datos 8.2 Análisis impacto al negocio y evaluación l riesgo. Características los procesos análisis impacto y evaluación l riesgo con respecto a la continuidad l Establecer las medidas seguridad Paso 6. Intificación las 8.3 Estrategia continuidad l Requerimientos y aspectos para la terminación la estrategia continuidad l 36 aplicables a los datos personales e intificar Art IV medidas 8.4 Establecimiento e Procedimientos y sus aquéllas implementadas manera efectiva. seguridad y Análisis implementación características para la Brecha. procedimientos implementación los continuidad l objetivos y planes continuidad l Realizar el análisis brecha que consiste en Paso Establecimiento e Procedimientos y sus 37 la diferencia las medidas seguridad existentes y aquéllas faltantes que resultan Art V Intificación las medidas implementación procedimientos características para la implementación los necesarias para la protección los datos seguridad y Análisis continuidad l objetivos y planes 249

16 personales. Brecha. continuidad l 38 Elaborar un plan trabajo para la implementación las medidas seguridad faltantes, rivadas l análisis brecha. Art VI Implementación las Medidas Plan Trabajo para la Implementación las Medidas Faltantes. 10 Mejora No conformidad y acciones correctivas Mejora continua. Acciones para la mejora continua l sistema gestión continuidad l Manejo no conformidas tectadas en el sistema gestión continuidad l Proceso mejora continua e implementación correcciones al sistema gestión continuidad l Aspectos específicos a 9.1 Monitoreo, consirarse en los procesos medición, análisis y monitoreo, medición, análisis, y evaluación. evaluación l sempeño l sistema gestión 39 Llevar a cabo revisiones o auditorías. Art VII Paso 8. Revisiones y Auditoría. 9.2 Auditoría interna. continuidad l Consiraciones para llevar a cabo la auditoría interna l sistema gestión continuidad l Actividas y elementos la 9.3 Revisión gerencial. revisión gerencial al sistema gestión continuidad l 250

17 Concientización todos los responsables la organización 7.3 Concientización. para cumplir con los objetivos y 40 Capacitar al personal que efectúe el tratamiento datos personales. Art VIII Paso 9. Mejora Continua y Capacitación. Capacitación. 7.4 Comunicación. planes continuidad l Aspectos a consirar para el intercambio información relacionada con el sistema gestión continuidad l negocio con las partes interesadas. Paso 5. Realizar el 8.4 Establecimiento e Procedimientos y sus 41 Realizar un registro los medios almacenamiento los datos personales. Art IX Análisis Riesgo los Datos implementación procedimientos continuidad l características para la implementación los objetivos y planes continuidad l 3. Acciones a 8.4 Establecimiento e Procedimientos y sus 42 Contar con una relación las medidas seguridad. Art. 61 implementar para la seguridad los datos personales implementación procedimientos continuidad l características para la implementación los objetivos y planes documentadas. continuidad l Actualizar las medidas seguridad cuando: Aspectos específicos a 43 I. Se modifiquen las medidas o procesos seguridad para su mejora continua, rivado las revisiones a la política seguridad Art. 62 Paso 8. Revisiones y Auditoría. 9.1 Monitoreo, medición, análisis y evaluación. consirarse en los procesos monitoreo, medición, análisis, y evaluación l sempeño l sistema gestión l responsable. continuidad l 251

18 II. Se produzcan modificaciones sustanciales Consiraciones para llevar a en el tratamiento que riven en un cambio l nivel riesgo. 9.2 Auditoría interna. cabo la auditoría interna l sistema gestión III. Se vulneren los sistemas tratamiento, continuidad l conformidad con lo dispuesto en el artículo 20 la Ley y 63 su. IV. Exista una afectación a los datos Actividas y elementos la personales distinta a las anteriores. En el caso datos personales sensibles, los 9.3 Revisión gerencial. revisión gerencial al sistema gestión continuidad l responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una vez al año. VULNERACIONES A LA SEGURIDAD Las vulneraciones seguridad ocurridas en 44 cualquier fase l tratamiento que afecten forma significativa los rechos patrimoniales o morales los titulares, serán informadas forma inmediata por el responsable al titular, a fin que este último pueda tomar las medidas correspondientes a la fensa Art. 20 Art. 63 Art. 64 Paso 8. Revisiones y Auditoría. Vulneraciones a la la Información. sus rechos. En caso que ocurra una vulneración a la seguridad los datos personales, el Paso 8. Revisiones y responsable berá informar al titular al Auditoría. 45 menos lo siguiente: Art. 65 Vulneraciones a la la I. La naturaleza l incinte. Información. II. Los datos personales comprometidos. 252

19 III. Las recomendaciones al titular acerca las medidas que éste pueda adoptar para proteger sus intereses. IV. Las acciones correctivas realizadas forma inmediata. V. Los medios don pue obtener más información al respecto. En caso que ocurra una vulneración a los datos personales, el responsable berá Paso 8. Revisiones y analizar las causas por las cuales se presentó Auditoría. 46 e implementar las acciones correctivas, Art. 66 Vulneraciones a la preventivas y mejora para acuar las la medidas seguridad correspondientes, a Información. efecto evitar que la vulneración se repita. ENCARGADO El encargado tendrá las siguientes obligaciones respecto l tratamiento que 47 realice por cuenta l responsable: I. Tratar únicamente los datos personales conforme a las instrucciones l responsable. II. Abstenerse tratar los datos personales para finalidas distintas a las instruidas por Art Recomendación General. 8.3 Estrategia continuidad l Requerimientos y aspectos para la terminación la estrategia continuidad l el responsable. III. Implementar las medidas seguridad conforme a la Ley, su y las más disposiciones aplicables. IV. Guardar confincialidad respecto los 8.4 Establecimiento e implementación procedimientos continuidad l Procedimientos y sus características para la implementación los objetivos y planes 253

20 datos personales tratados. continuidad l V. Suprimir los datos personales objeto tratamiento una vez cumplida la relación jurídica con el responsable o por instrucciones l responsable, siempre y cuando no exista una previsión legal que exija la conservación los datos personales. VI. Abstenerse transferir los datos personales salvo en el caso que el responsable así lo termine, la comunicación rive una subcontratación, o cuando así lo requiera la autoridad competente. SUBCONTRATACIONES Evaluación los factores La relación entre el responsable y el Implementación las Medidas 4.1 Entendimiento la organización y su contexto. internos y externos que afectan a la organización para la implementación un sistema gestión continuidad l encargado berá estar establecida mediante 48 cláusulas contractuales u otro instrumento jurídico que cida el responsable, que permita acreditar su existencia, alcance y contenido. Art. 51 Cotidiano Medidas. 4.2 Entendimiento las necesidas y expectativas las partes interesadas. Actividas para el entendimiento las necesidas y expectativas las partes interesadas en el sistema gestión continuidad l negocio incluyendo aspectos regulatorios y legales. 254

21 Toda subcontratación servicios por parte Evaluación los factores 49 l encargado que implique el tratamiento datos personales berá ser autorizada por el responsable, y se realizará en y por cuenta este último. Una vez obtenida la autorización, el encargado berá formalizar la relación con el subcontratado a través cláusulas contractuales u otro instrumento jurídico que permita acreditar su existencia, alcance y contenido. En caso que la subcontratación no haya sido prevista en cláusulas contractuales, el encargado berá obtener la autorización correspondiente l responsable previamente. La obligación acreditar que la subcontratación se realizó con autorización l responsable corresponrá al encargado. Art. 54 Art. 55 Implementación las Medidas Cotidiano Medidas. 4.1 Entendimiento la organización y su contexto. 4.2 Entendimiento las necesidas y expectativas las partes interesadas. 6.1 Acciones para abordar los riesgos y las oportunidas. internos y externos que afectan a la organización para la implementación un sistema gestión continuidad l Actividas para el entendimiento las necesidas y expectativas las partes interesadas en el sistema gestión continuidad l negocio incluyendo aspectos regulatorios y legales. Determinación las acciones a llevar a cabo para abordar los riesgos y áreas oportunidad continuidad l negocio en la organización. CÓMPUTO EN LA NUBE Para el tratamiento datos personales en Evaluación los factores 50 servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales Art I Implementación las Medidas 4.1 Entendimiento la organización y su contexto. internos y externos que afectan a la organización para la implementación un sistema gestión continuidad l contratación, sólo podrá utilizar aquellos 255

22 servicios en los que el proveedor cumpla, al Actividas para el menos, con lo siguiente: a) Tener y aplicar políticas protección datos personales afines a los principios y beres aplicables que establece la Ley y su Cotidiano Medidas. 4.2 Entendimiento las necesidas y expectativas las partes interesadas. entendimiento las necesidas y expectativas las partes interesadas en el sistema gestión continuidad l negocio ; incluyendo aspectos regulatorios y legales. b) Transparentar las subcontrataciones que involucren la información sobre la que se presta el servicio; c) Abstenerse incluir condiciones en la Determinación las acciones a prestación l servicio que le autoricen o 6.1 Acciones para llevar a cabo para abordar los permitan asumir la titularidad o propiedad abordar los riesgos y riesgos y áreas oportunidad la información sobre la que presta el servicio, las oportunidas. continuidad l negocio en y la organización. d) Guardar confincialidad respecto los datos personales sobre los que se preste el servicio. 51 Para el tratamiento datos personales en servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales contratación, sólo podrá utilizar aquellos servicios en los que el proveedor cuente con Art II Implementación las Medidas 4.1 Entendimiento la organización y su contexto. Evaluación los factores internos y externos que afectan a la organización para la implementación un sistema gestión continuidad l 256

23 mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas privacidad o condiciones l servicio que presta; b) Permitir al responsable limitar el tipo tratamiento los datos personales sobre los que se presta el servicio; Cotidiano Medidas. 4.2 Entendimiento las necesidas y expectativas las partes interesadas. Actividas para el entendimiento las necesidas y expectativas las partes interesadas en el sistema gestión continuidad l negocio incluyendo aspectos regulatorios y legales. c) Establecer y mantener medidas seguridad acuadas para la protección los datos personales sobre los que se preste el servicio; d) Garantizar la supresión los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y 6.1 Acciones para abordar los riesgos y las oportunidas. Determinación las acciones a llevar a cabo para abordar los riesgos y áreas oportunidad continuidad l negocio en la organización. e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios acceso, o bien en caso que sea a solicitud fundada y motivada autoridad competente, informar ese hecho al responsable. TRANSFERENCIAS 257

24 Cuando el responsable pretenda transferir los Evaluación los factores datos personales a terceros nacionales o extranjeros, distintos l encargado, berá comunicar a éstos el aviso privacidad y las finalidas a las que el titular sujetó su Implementación las Medidas 4.1 Entendimiento la organización y su contexto. internos y externos que afectan a la organización para la implementación un sistema gestión continuidad l tratamiento. Art El tratamiento los datos se hará conforme a lo convenido en el aviso privacidad, el Art. 36 Art. 71 Art. 72 Actividas para el entendimiento las cual contendrá una cláusula en la que se Art Entendimiento necesidas y expectativas indique si el titular acepta o no la Cotidiano las necesidas y las partes interesadas en el transferencia sus datos, igual manera, Medidas expectativas las sistema gestión el tercero receptor, asumirá las mismas. partes interesadas. continuidad l negocio obligaciones que correspondan al incluyendo aspectos responsable que transfirió los datos. regulatorios y legales. Evaluación los factores 53 Para efectos mostrar que la transferencia, sea ésta nacional o internacional, se realiza conforme a lo que establece la Ley y su, la carga la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor los datos personales. Art. 69 Implementación las Medidas Cotidiano Medidas. 4.1 Entendimiento la organización y su contexto. 4.2 Entendimiento las necesidas y expectativas las partes interesadas. internos y externos que afectan a la organización para la implementación un sistema gestión continuidad l Actividas para el entendimiento las necesidas y expectativas las partes interesadas en el sistema gestión continuidad l negocio incluyendo aspectos regulatorios y legales. 258

25 Factores internos y externos 4 Contexto la Organización. la organización que afectan la implementación y operación un sistema gestión la En el caso transferencias datos continuidad l 54 personales entre sociedas controladoras, subsidiarias o afiliadas bajo el control común l mismo grupo l responsable, o a una sociedad matriz o a cualquier sociedad l mismo grupo l responsable, el mecanismo para garantizar que el receptor los datos personales cumplirá con las disposiciones previstas en la Ley, su y más normativa aplicable, podrá ser la existencia normas internas protección datos personales cuya observancia sea vinculante, siempre y cuando éstas cumplan con lo establecido en la Ley, su y más normativa aplicable. Art Recomendación General 5 Lirazgo. 6 Planeación. 7 Soporte. Compromiso la organización para la implementación y operación un sistema gestión la continuidad l Establecimiento objetivos la continuidad l negocio y planeación acciones para alcanzarlos. Componentes necesarios para la implementación un sistema gestión la continuidad l Procesos necesarios para la 8 Operación. operación un sistema gestión la continuidad l 259

26 Actividas para el monitoreo, 9 Evaluación sempeño. medición, análisis, y evaluación l sempeño un sistema gestión la continuidad l Atención no conformidas 10 Mejora. l sistema gestión la continuidad l negocio para su mejora continua. Evaluación los factores La transferencia berá formalizarse Implementación las Medidas 4.1 Entendimiento la organización y su contexto. internos y externos que afectan a la organización para la implementación un sistema gestión continuidad l mediante algún mecanismo que permita 55 mostrar que el responsable transferente comunicó al responsable receptor las Art. 73 Art. 75 Actividas para el entendimiento las condiciones en las que el titular consintió el 4.2 Entendimiento necesidas y expectativas tratamiento sus datos personales. Cotidiano las necesidas y las partes interesadas en el Medidas expectativas las sistema gestión. partes interesadas. continuidad l negocio incluyendo aspectos regulatorios y legales. 260