Sistema de Gestión de Privacidad de la Información- ISO 27701

El Sistema de Gestión de Privacidad de la Información (SGPI) basado en ISO/IEC 27701 como todos los sistemas de gestión esta basado en el ciclo de Deming de mejor continua, este considera cuatro fases, que incluyen la planeación, la implementación, la revisión y la mejora continua.

Para la implementan de un sistemas de gestión, las organizaciones deben conocer las actividades que corresponden a a cada una de las etapas y establecer mecanismos para sus implementación al interior.

En el caso particular del SGPI se consideran cuatro etapas que se ilustran y describen en la siguiente infografía:

• Planear: en esta etapa se definen los objetivos, políticas y procedimientos relevantes del SGPI para gestionar los riesgos de la información de identificación personal (PII), con la finalidad de cumplir con el estándar y con la legislación sobre protección de datos aplicable y obtener resultados acordes a las políticas y objetivos generales de la organización.
• Hacer: en esta etapa se implementan y operan las políticas, objetivos, procesos y procedimientos del SGPI, así como sus controles.
• Verificar: en esta etapa se evalúa y se mide el cumplimiento del proceso de acuerdo con el estándar, la legislación en protección de datos personales aplicable, la política, los objetivos y la experiencia práctica del SGPI, el resultado de esta evaluación debe ser informado a la alta dirección para su conocimiento y revisión.
• Actuar: en esta etapa se adoptan medidas correctivas y preventivas en función de los resultados de la revisión del SGPI o de otras fuentes de información que se consideren relevantes, con la finalidad de lograr la mejora continua del sistema de gestión.

En el caso de México existe la figura del Sistema de Gestión de Seguridad de Datos Personales (SGSDP) que de forma similar al SGPI considera el ciclo de mejora continua y cuatros fases que con: planear, implementar y operar, monitorear y revisar y mejorar.