4.9 ISO 31000:2009, Risk management Principles and guidelines.

Transcripción

1 4.9 ISO 31000:2009, Risk management Principles and guilines. Introducción. Este estándar proporciona los principios y las guías genéricas para la gestión riesgos, por lo que pue ser utilizada por cualquier organización no importando la industria o sector. Los puntos contenidos en este estándar puen ser aplicados a lo largo la vida una organización, y para una diversidad actividas, incluyendo estrategias y cisiones, operaciones, proceso, funciones, proyectos, productos, servicios, y activos. N Requerimiento normativo RESPONSABLE 2 Términos y Términos y finiciones la finiciones. gestión l riesgo. 3 Principios. Principios para la gestión efectiva l riesgo. Compromiso la alta 4.2 Responsabilidad y dirección la organización 1 Los responsables en el tratamiento datos personales, berán observar los principios licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad, previstos en la Ley. Art. 6 Art Recomendación General. compromiso. 4.3 Diseño l marco trabajo para la Gestión l para la gestión efectiva l riesgo. Características principales con las que be contar un marco trabajo para la gestión l riesgo. 4.4 Implementación Consiraciones para la la Gestión l implementación efectiva la gestión l riesgo. 4.5 Monitoreo y Características los procesos revisión l marco monitoreo y revisión l 261

2 trabajo. marco trabajo la gestión l riesgo. 4.6 Mejora continua l marco trabajo. Acciones para llevar a cabo la mejora continua l marco trabajo la gestión l riesgo. 5.2 Comunicación y consulta. Comunicación y consulta con las partes interesadas para la gestión efectiva l riesgo. 5.3 Establecimiento l contexto. Factores internos y externos a consirarse para la gestión efectiva l riesgo. 5.4 Evaluación l Proceso evaluación l riesgo y sus componentes. 5.5 l Selección opciones y alternativas para modificación l riesgo. 5.6 Monitoreo y Procesos monitoreo y revisión. revisión l riesgo. 5.7 Registro l Acciones para llevar a cabo la proceso Gestión trazabilidad la gestión l l riesgo. LICITUD Y LEALTAD Los datos personales berán recabarse y 2 tratarse manera lícita, privilegiando la protección los intereses l titular y la expectativa razonable privacidad, sin Art. 7 Art. 7 Art. 10 Art. 44 Paso 1. Alcance y Objetivos. importar la fuente la que se obtienen los 262

3 datos. La obtención datos personales no be hacerse a través medios engañosos o fraudulentos. El tratamiento datos personales estará sujeto al consentimiento su titular, salvo las excepciones previstas por la Ley. CONSENTIMIENTO 3 Los datos financieros o patrimoniales requerirán consentimiento expreso su titular. Art. 8 Art. 11 Art. 12 Art. 15 Paso 2. Política Gestión Datos Cuando los datos personales se obtengan personalmente o manera directa su titular, el consentimiento berá ser previo al tratamiento. El responsable berá facilitar al titular Paso 2. Política 4 medios sencillos y gratuitos para manifestar Art. 8 Art. 16 Gestión Datos su consentimiento expreso. Tratándose datos personales sensibles, el responsable berá obtener el consentimiento expreso y por escrito l Paso 2. Política 5 titular para su tratamiento. Art. 9 Art. 56 Gestión Datos No podrán crearse bases datos que contengan datos personales sensibles, sin 263

4 que se justifique la creación las mismas para finalidas legítimas, concretas y acors con las actividas o fines explícitos que persigue el sujeto regulado. Implementación las Medidas Para efectos mostrar la obtención l 6 consentimiento, la carga la prueba recaerá, en todos los casos, en el Art. 20 Datos responsable. Cotidiano Medidas. INFORMACIÓN A través l aviso privacidad, el responsable tendrá la obligación informar a los titulares, los datos que recaba, las finalidas necesarias y las que no lo son 7 para la relación jurídica, así como las características principales su tratamiento. Cuando se traten datos personales como parte un proceso toma cisiones Art. 15 Art. 14 Art. 23 Art. 112 Paso 2. Política Gestión Datos sin que intervenga la valoración una persona física, el responsable berá informar al titular que esta situación ocurre. Si obtiene los datos manera automática, 264

5 berá informar al titular sobre el uso estas tecnologías y la forma en que podrá shabilitarlas. Implementación 8 Cuando los datos personales sean obtenidos directamente l titular, el aviso privacidad be ponerse a disposición los titulares a través formatos impresos, Art. 3, I Art. 17 Art. 27 las Medidas Datos digitales, visuales, sonoros o cualquier otra tecnología. Cotidiano Medidas. 9 El aviso privacidad be contener un mecanismo, para que el titular pueda manifestar su negativa al tratamiento sus datos personales. Cuando los datos se obtengan manera indirecta l titular, el responsable berá darle a conocer el aviso privacidad y sus cambios. Art. 18 Art. 14 Art. 29 Art. 32 Implementación las Medidas Datos Cotidiano Medidas 265

6 Implementación 10 Para efectos mostrar la puesta a disposición l aviso privacidad en cumplimiento l principio información, la carga la prueba recaerá, en todos los casos, en el responsable. Art. 31 las Medidas Datos Cotidiano Medidas. CALIDAD El responsable procurará que los datos 11 personales contenidos en las bases datos sean exactos, completos, pertinentes, correctos y actualizados según se requiera para el cumplimiento la finalidad para la Art. 11 Art. 36 Paso 2. Política Gestión Datos 2.26 Control. Definición y ejemplos control. cual son tratados. Cuando los datos carácter personal hayan jado ser necesarios para el cumplimiento las finalidas previstas por el aviso privacidad y las disposiciones 12 legales aplicables, berán ser cancelados, previo bloqueo los mismos. Art. 3 III Art. 11 Art. 37 Paso 2. Política Gestión Datos 2.26 Control. Definición y ejemplos control. El responsable la base datos estará obligado a eliminar la información relativa al incumplimiento obligaciones contractuales, una vez que transcurra un 266

7 plazo setenta y dos meses, contado a partir la fecha calendario en que se presente el mencionado incumplimiento. 13 El responsable establecerá y documentará procedimientos para la conservación y, en su caso, bloqueo y supresión los datos personales. Art. 38 Paso 2. Política Gestión Datos 2.26 Control. Definición y ejemplos control. Implementación las Medidas Al responsable le correspon mostrar que 14 los datos personales se conservan, o en su Art. 39 Datos caso, bloquean, suprimen o cancelan. Cotidiano Medidas. FINALIDAD El tratamiento datos personales berá limitarse al cumplimiento las finalidas previstas en el aviso privacidad. Art. 40 Paso 2. Política 15 Si el responsable preten tratar los datos Art. 12 Art. 42 Gestión Datos para un fin distinto al establecido, berá Art. 43 obtener nuevamente el consentimiento l titular. 267

8 El titular podrá oponerse o revocar su consentimiento para las finalidas distintas a las que dieron origen a la relación jurídica, sin que ello tenga como consecuencia la conclusión l tratamiento. PROPORCIONALIDAD El tratamiento datos personales será el que resulte necesario, acuado y relevante 16 en relación con las finalidas previstas en el aviso privacidad. En particular para datos personales sensibles, el responsable berá Art. 13 Art. 45 Art. 46 Paso 2. Política Gestión Datos limitar el periodo tratamiento al mínimo indispensable. CONFIDENCIALIDAD Selección Consiraciones a tomar en 17 El responsable o terceros que intervengan en cualquier fase l tratamiento datos personales berán guardar confincialidad respecto éstos, obligación que subsistirá aun spués finalizar sus relaciones con el titular o, en su caso, con el responsable. Art. 21 Art. 9 Paso 2. Política Gestión Datos opciones l Preparación e implementación planes l cuenta para la selección opciones y alternativas tratamiento l riesgo. Características que ben ser consiradas en los planes tratamiento l riesgo. RESPONSABILIDAD 18 El responsable tiene la obligación velar y responr por el tratamiento los datos personales en su posesión, biendo adoptar Art. 14 Art. 47 Paso 2. Política Gestión Datos 2.26 Control. Definición y ejemplos control. 268

9 las medidas necesarias. El responsable berá tomar las medidas necesarias y suficientes para garantizar que el aviso privacidad dado a conocer al titular, sea respetado en todo momento por él o por terceros con los que guar alguna relación jurídica. 5.3 Estableciendo el contexto. Factores internos y externos a consirarse para la gestión efectiva l riesgo Contexto Externo. Factores externos la organización que incin en la gestión l riesgo. 19 Los responsables berán adoptar medidas para garantizar el bido tratamiento, privilegiando los intereses l titular y la Art. 14 Art. 48 Paso 5. Realizar el Análisis Riesgo los Datos Contexto Interno. Factores internos la organización que incin en la gestión l riesgo. expectativa razonable privacidad Estableciendo el Elementos necesarios para el contexto l proceso establecimiento l contexto Gestión l l proceso gestión l riesgo Definición Definición y establecimiento l criterio l criterio para evaluar el riesgo. 20 Elaborar políticas y programas privacidad obligatorios y exigibles al interior la organización. Art I Paso 2. Política Gestión Datos Estableciendo la Política Gestión l Enfoque y elementos la política gestión l riesgo. 269

10 Poner en práctica un programa Paso 9. Mejora 21 capacitación, actualización, y concientización l personal sobre las obligaciones en Art II Continua y Capacitación. materia protección datos personales. Capacitación. 4.5 Monitoreo y Revisión l Marco Trabajo. Características los procesos monitoreo y revisión l marco trabajo la gestión l riesgo. 22 Establecer un sistema supervisión y vigilancia interna, verificaciones o auditorías externas para comprobar el cumplimiento las políticas privacidad. Art III Paso 8. Revisiones y Auditoría. 4.6 Mejora continua l Marco Trabajo. Acciones para llevar a cabo la mejora continua l marco trabajo la gestión l riesgo. 5.6 Monitoreo y Procesos monitoreo y Revisión. revisión l riesgo. Paso 3. Establecer 23 Destinar recursos para la instrumentación los programas y políticas privacidad. Art IV Funciones y Obligaciones Quienes Traten Datos 24 Instrumentar un procedimiento para que se atienda el riesgo para la protección datos personales por la implementación nuevos productos, servicios, tecnologías y molos negocios, así como para mitigarlos. Art V Paso 5. Realizar el Análisis Riesgo los Datos 5.4 Evaluación l Proceso evaluación l riesgo y sus componentes. 270

11 5.4.2 Intificación Actividas a consirar para la l intificación l riesgo Análisis l general l proceso análisis l riesgo Revisión l general l proceso revisión l riesgo. 5.5 l Selección opciones y alternativas para modificación l riesgo Selección Consiraciones a tomar en opciones cuenta para la selección l opciones y alternativas tratamiento l riesgo Preparación e implementación Características que ben ser planes consiradas en los planes l tratamiento l riesgo. 25 Revisar periódicamente las políticas y programas seguridad para terminar las modificaciones que se requieran. Art VI Paso 8. Revisiones y Auditoría. 4.5 Monitoreo y Revisión l Marco Trabajo. Características los procesos monitoreo y revisión l marco trabajo la gestión l riesgo. 271

12 4.6 Mejora continua l Marco Trabajo. Acciones para llevar a cabo la mejora continua l marco trabajo la gestión l riesgo. 5.6 Monitoreo y Procesos monitoreo y Revisión. revisión l riesgo. 5.7 Registro l Acciones para llevar a cabo la proceso Gestión trazabilidad la gestión l l riesgo. Implementación las Medidas 26 Establecer procedimientos para recibir y responr dudas y quejas los titulares los datos personales. Art VII Datos Cotidiano Medidas. Disponer mecanismos para el Paso 3. Funciones y 27 cumplimiento las políticas y programas privacidad, así como sanciones por su Art VIII Obligaciones Quienes Traten incumplimiento. Datos Establecer medidas para el aseguramiento Paso Selección Consiraciones a tomar en 28 los datos personales, es cir, un conjunto Art IX Intificación las opciones cuenta para la selección acciones técnicas y administrativas que medidas l opciones y alternativas 272

13 permitan garantizar al responsable el seguridad y Análisis tratamiento l riesgo. cumplimiento los principios y obligaciones que establece la Ley y su. Brecha Preparación e implementación Características que ben ser planes consiradas en los planes l tratamiento l riesgo Selección Consiraciones a tomar en opciones cuenta para la selección Establecer medidas para la trazabilidad los Paso 6. l opciones y alternativas datos personales, es cir acciones, medidas Intificación las tratamiento l riesgo. 29 y procedimientos técnicos que permiten Art X medidas Preparación e rastrear a los datos personales durante su seguridad y Análisis implementación Características que ben ser tratamiento. Brecha. planes consiradas en los planes l tratamiento l riesgo. 30 Todo responsable berá signar a una persona, o partamento datos personales, quien dará trámite a las solicitus los titulares, para el ejercicio los rechos a que se refiere la Ley. Asimismo fomentará la protección datos personales al interior la organización. Art. 30 Implementación las Medidas Datos Cotidiano Medidas. SEGURIDAD 273

14 Todo responsable que lleve a cabo tratamiento datos personales berá establecer y mantener medidas seguridad 5.4 Evaluación l Proceso evaluación l administrativas, técnicas y físicas que riesgo y sus componentes. permitan proteger los datos personales contra daño, pérdida, alteración, strucción 31 o el uso, acceso o tratamiento no autorizado. No adoptarán medidas seguridad menores a aquellas que mantengan para el manejo su información. Art. 19 Art. 4 Art. 9 Art. 57 Paso 6. Intificación las medidas seguridad y Análisis Brecha. 5.5 l Selección opciones Selección opciones y alternativas para modificación l riesgo. Consiraciones a tomar en cuenta para la selección Cuando el encargado se encuentre ubicado en territorio mexicano, le serán aplicables las disposiciones relativas a las medidas seguridad contenidas en el Capítulo III. l Preparación e implementación planes l opciones y alternativas tratamiento l riesgo. Características que ben ser consiradas en los planes tratamiento l riesgo. 32 El responsable terminará las medidas seguridad aplicables a los datos personales que trate, consirando el riesgo existente, las posibles consecuencias para los titulares, la sensibilidad los datos y el sarrollo tecnológico. Art. 19 Art. 60 Paso 5. Realizar el Análisis Riesgo los Datos 5.4 Evaluación l Intificación l Proceso evaluación l riesgo y sus componentes. Actividas a consirar para la intificación l riesgo. 274

15 De manera adicional, el responsable procurará tomar en cuenta los siguientes elementos: I. El número titulares; Análisis l general l proceso análisis l riesgo. II. Las vulnerabilidas previas ocurridas en los sistemas tratamiento; III. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una Revisión l general l proceso revisión l riesgo. tercera persona no autorizada para su posesión, y IV. Demás factores que puedan incidir en el nivel riesgo o que resulten otras leyes o regulación aplicable al responsable. 5.5 l Selección opciones y alternativas para modificación l riesgo Selección Consiraciones a tomar en opciones cuenta para la selección l opciones y alternativas tratamiento l riesgo Preparación e implementación Características que ben ser planes consiradas en los planes l tratamiento l riesgo. 275

16 33 Elaborar un inventario datos personales y los sistemas tratamiento. Art I Paso 4. Elaborar un Inventario Datos Paso 3. Establecer 34 Determinar las funciones y obligaciones las personas que traten datos personales. Art II Funciones y Obligaciones Quienes Traten Datos 5.4 Evaluación l Proceso evaluación l riesgo y sus componentes Intificación Actividas a consirar para la l intificación l riesgo Análisis l general l proceso Contar con un análisis riesgos datos Paso 5. Realizar el análisis l riesgo. 35 personales que consiste en intificar peligros y estimar los riesgos a los datos personales. Art III Análisis Riesgo los Datos Revisión l 5.5 l general l proceso revisión l riesgo. Selección opciones y alternativas para modificación l riesgo Selección Consiraciones a tomar en opciones cuenta para la selección l opciones y alternativas tratamiento l riesgo. 276

17 5.5.3 Preparación e implementación Características que ben ser planes consiradas en los planes l tratamiento l riesgo Selección Consiraciones a tomar en opciones cuenta para la selección Paso 6. l opciones y alternativas Establecer las medidas seguridad Intificación las tratamiento l riesgo. 36 aplicables a los datos personales e intificar Art IV medidas Preparación e aquéllas implementadas manera efectiva. seguridad y Análisis implementación Características que ben ser Brecha. planes consiradas en los planes l tratamiento l riesgo. 37 Realizar el análisis brecha que consiste en la diferencia las medidas seguridad existentes y aquéllas faltantes que resultan necesarias para la protección los datos personales. Art V Paso 6. Intificación las medidas seguridad y Análisis Brecha Análisis l 5.6 Monitoreo y revisión. general l proceso análisis l riesgo. Procesos monitoreo y revisión l riesgo Selección Consiraciones a tomar en Implementación opciones cuenta para la selección las Medidas l opciones y alternativas Elaborar un plan trabajo para la tratamiento l riesgo. 38 implementación las medidas seguridad Art VI Preparación e faltantes, rivadas l análisis brecha. Datos implementación Características que ben ser Plan Trabajo planes consiradas en los planes para la l tratamiento l riesgo. Implementación 277

18 las Medidas Faltantes. 4.5 Monitoreo y Revisión l Marco Trabajo. Características los procesos monitoreo y revisión l marco trabajo la gestión l riesgo. 39 Llevar a cabo revisiones o auditorías. Art VII Paso 8. Revisiones y Auditoría. 4.6 Mejora continua l Marco Trabajo. Acciones para llevar a cabo la mejora continua l marco trabajo la gestión l riesgo. 5.6 Monitoreo y Procesos monitoreo y Revisión. revisión l riesgo. 5.7 Registro l Acciones para llevar a cabo la proceso Gestión trazabilidad la gestión l l riesgo. Paso 9. Mejora 40 Capacitar al personal que efectúe el tratamiento datos personales. Art VIII Continua y Capacitación. Capacitación. Paso 5. Realizar el 41 Realizar un registro los medios almacenamiento los datos personales. Art IX Análisis Riesgo los Datos 3. Acciones a 42 Contar con una relación las medidas seguridad. Art. 61 implementar para la seguridad los 2.26 Control. Definición y ejemplos control. datos personales 278

19 documentadas. Actualizar las medidas seguridad cuando: I. Se modifiquen las medidas o procesos 5.3 Estableciendo el contexto. Factores internos y externos a consirarse para la gestión efectiva l riesgo. 43 seguridad para su mejora continua, rivado las revisiones a la política seguridad l responsable. II. Se produzcan modificaciones sustanciales en el tratamiento que riven en un cambio l nivel riesgo. III. Se vulneren los sistemas tratamiento, conformidad con lo dispuesto en el artículo 20 la Ley y 63 su. IV. Exista una afectación a los datos personales distinta a las anteriores. Art. 62 Paso 8. Revisiones y Auditoría Contexto Externo Contexto Interno Estableciendo el contexto l proceso Gestión l Factores externos la organización que incin en la gestión l riesgo. Factores internos la organización que incin en la gestión l riesgo. Elementos necesarios para el establecimiento l contexto l proceso gestión l riesgo. En el caso datos personales sensibles, los responsables procurarán revisar y, en su caso, actualizar las relaciones correspondientes una Definición criterio l Definición y establecimiento l criterio para evaluar el riesgo. vez al año. VULNERACIONES A LA SEGURIDAD 279

20 Las vulneraciones seguridad ocurridas en 44 cualquier fase l tratamiento que afecten forma significativa los rechos patrimoniales o morales los titulares, serán informadas forma inmediata por el responsable al titular, a fin que este último pueda tomar las medidas correspondientes a la fensa Art. 20 Art. 63 Art. 64 Paso 8. Revisiones y Auditoría. Vulneraciones a la la Información. sus rechos. En caso que ocurra una vulneración a la seguridad los datos personales, el responsable berá informar al titular al menos lo siguiente: 45 I. La naturaleza l incinte. II. Los datos personales comprometidos. III. Las recomendaciones al titular acerca las medidas que éste pueda adoptar para proteger sus intereses. Art. 65 Paso 8. Revisiones y Auditoría. Vulneraciones a la la Información. IV. Las acciones correctivas realizadas forma inmediata. V. Los medios don pue obtener más información al respecto. 46 En caso que ocurra una vulneración a los datos personales, el responsable berá analizar las causas por las cuales se presentó e implementar las acciones correctivas, Art. 66 Paso 8. Revisiones y Auditoría. Vulneraciones a la la 4.5 Monitoreo y Revisión l Marco Trabajo. Características los procesos monitoreo y revisión l marco trabajo la gestión l riesgo. 280

21 preventivas y mejora para acuar las medidas seguridad correspondientes, a efecto evitar que la vulneración se repita. Información. 4.6 Mejora continua l Marco Trabajo. Acciones para llevar a cabo la mejora continua l marco trabajo la gestión l riesgo. 5.6 Monitoreo y Procesos monitoreo y Revisión. revisión l riesgo. 5.7 Registro l Acciones para llevar a cabo la proceso Gestión trazabilidad la gestión l l riesgo. ENCARGADO El encargado tendrá las siguientes Selección Consiraciones a tomar en obligaciones respecto l tratamiento que opciones cuenta para la selección realice por cuenta l responsable: l opciones y alternativas tratamiento l riesgo. I. Tratar únicamente los datos personales conforme a las instrucciones l responsable. II. Abstenerse tratar los datos personales 47 para finalidas distintas a las instruidas por el responsable. III. Implementar las medidas seguridad conforme a la Ley, su y las más disposiciones aplicables. IV. Guardar confincialidad respecto los Art Recomendación General Preparación e implementación planes l Características que ben ser consiradas en los planes tratamiento l riesgo. datos personales tratados. V. Suprimir los datos personales objeto tratamiento una vez cumplida la relación 281

22 jurídica con el responsable o por instrucciones l responsable, siempre y cuando no exista una previsión legal que exija la conservación los datos personales. VI. Abstenerse transferir los datos personales salvo en el caso que el responsable así lo termine, la comunicación rive una subcontratación, o cuando así lo requiera la autoridad competente. SUBCONTRATACIONES Implementación La relación entre el responsable y el las Medidas encargado berá estar establecida mediante 48 cláusulas contractuales u otro instrumento jurídico que cida el responsable, que Art. 51 Datos permita acreditar su existencia, alcance y contenido. Cotidiano Medidas. Toda subcontratación servicios por parte l encargado que implique el tratamiento Implementación 49 datos personales berá ser autorizada por el responsable, y se realizará en y por cuenta este último. Art. 54 Art. 55 las Medidas Una vez obtenida la autorización, el Datos encargado berá formalizar la relación con 282

23 el subcontratado a través cláusulas Cotidiano contractuales u otro instrumento jurídico que Medidas permita acreditar su existencia, alcance y. contenido. En caso que la subcontratación no haya sido prevista en cláusulas contractuales, el encargado berá obtener la autorización correspondiente l responsable previamente. La obligación acreditar que la subcontratación se realizó con autorización l responsable corresponrá al encargado. CÓMPUTO EN LA NUBE Para el tratamiento datos personales en servicios, aplicaciones e infraestructura en el 50 nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales contratación, sólo podrá utilizar aquellos servicios en los que el proveedor cumpla, al menos, con lo siguiente: Art I Implementación las Medidas Datos a) Tener y aplicar políticas protección datos personales afines a los principios y beres aplicables que establece la Ley y su ; Cotidiano Medidas. b) Transparentar las subcontrataciones que 283

24 involucren la información sobre la que se presta el servicio; c) Abstenerse incluir condiciones en la prestación l servicio que le autoricen o permitan asumir la titularidad o propiedad la información sobre la que presta el servicio, y d) Guardar confincialidad respecto los datos personales sobre los que se preste el servicio. Para el tratamiento datos personales en servicios, aplicaciones e infraestructura en el nominado cómputo en la nube, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales Implementación Selección opciones l Consiraciones a tomar en cuenta para la selección opciones y alternativas tratamiento l riesgo. contratación, sólo podrá utilizar aquellos las Medidas servicios en los que el proveedor cuente con 51 mecanismos, al menos, para: a) Dar a conocer cambios en sus políticas privacidad o condiciones l servicio que presta; Art II Datos Cotidiano Medidas Preparación e implementación planes l Características que ben ser consiradas en los planes tratamiento l riesgo. b) Permitir al responsable limitar el tipo tratamiento los datos personales sobre los que se presta el servicio; 284

25 c) Establecer y mantener medidas seguridad acuadas para la protección los datos personales sobre los que se preste el servicio; d) Garantizar la supresión los datos personales una vez que haya concluido el servicio prestado al responsable, y que este último haya podido recuperarlos, y e) Impedir el acceso a los datos personales a personas que no cuenten con privilegios acceso, o bien en caso que sea a solicitud fundada y motivada autoridad competente, informar ese hecho al responsable. TRANSFERENCIAS Cuando el responsable pretenda transferir los datos personales a terceros nacionales o Implementación extranjeros, distintos l encargado, berá las Medidas comunicar a éstos el aviso privacidad y las Art finalidas a las que el titular sujetó su tratamiento. Art. 36 Art. 71 Art. 72 Datos El tratamiento los datos se hará conforme Art. 74 a lo convenido en el aviso privacidad, el Cotidiano cual contendrá una cláusula en la que se Medidas indique si el titular acepta o no la. 285

26 transferencia sus datos, igual manera, el tercero receptor, asumirá las mismas obligaciones que correspondan al responsable que transfirió los datos. 53 Para efectos mostrar que la transferencia, sea ésta nacional o internacional, se realiza conforme a lo que establece la Ley y su, la carga la prueba recaerá, en todos los casos, en el responsable que transfiere y en el receptor los datos personales. Art. 69 Implementación las Medidas Datos Cotidiano Medidas. En el caso transferencias datos personales entre sociedas controladoras, 54 subsidiarias o afiliadas bajo el control común l mismo grupo l responsable, o a una sociedad matriz o a cualquier sociedad l Art Recomendación General 4 Marco Trabajo. Aspectos l marco trabajo para la gestión efectiva l riesgo. mismo grupo l responsable, el mecanismo para garantizar que el receptor los datos 286

27 personales cumplirá con las disposiciones previstas en la Ley, su y más normativa aplicable, podrá ser la existencia normas internas protección datos personales cuya observancia sea vinculante, 5 Proceso. Procesos para la gestión efectiva l riesgo. siempre y cuando éstas cumplan con lo establecido en la Ley, su y más normativa aplicable. Implementación La transferencia berá formalizarse las Medidas mediante algún mecanismo que permita 55 mostrar que el responsable transferente comunicó al responsable receptor las Art. 73 Art. 75 Datos condiciones en las que el titular consintió el tratamiento sus datos personales. Cotidiano Medidas. 287