Definiciones

Sistema de Gestión de Protección de Datos Personales (SGPDP) :

- Es el conjunto de políticas, procesos, procedimientos, recursos y responsabilidades que implementa una
organización para garantizar el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su
reglamento, así como de estándares internacionales como ISO/IEC 27001 e ISO/IEC 27701.

Personally Identifiable Information (PII): :

- Cualquier información que se pueda usar para identificar al PII Principal o que podría estar directa o indirectamente
vinculada a éste.

Privacy Information Management System (PIMS):

- Sistema de Gestión de Seguridad de la Información que aborda la protección de la privacidad cuando se realiza
procesamiento de PII.

Política de protección de datos personales:

- Documento que establece los lineamientos internos y compromisos de la organización frente al tratamiento de datos.
- Política de privacidad → más usado en sitios web o plataformas digitales.
- Aviso de privacidad → documento dirigido a titulares, obligatorio en algunos países.
 Definiciones

Confidencialidad:
- La información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados (ISO 27000).
- El tratamiento de datos personales debe concebirse sobre la base
del debido sigilo y secreto, es decir, no debe tratarse o
comunicarse para un fin distinto para el cual fueron recogidos, a
menos que concurra una de las causales que habiliten un nuevo
tratamiento conforme los supuestos de tratamiento legítimo
señalados en esta ley (LOPDP).

Integridad:
- Mantenimiento de la exactitud y completitud de la información y
sus métodos de proceso (ISO 27000)
- Propiedad en la que los datos personales no han sido alterados sin
autorización de los titulares de datos o por otra causal que
justifique la legitimidad del tratamiento de datos. (Guía de gestión
de riesgos SPDP, 2025)

Disponibilidad:
- Acceso y utilización de la información y los sistemas de
tratamiento de la misma por parte de los individuos, entidades o
procesos autorizados cuando lo requieran.
- Propiedad de los datos para ser accesibles y utilizables bajo el
control del titular de datos u otra causal que justifique la
legitimidad del tratamiento de datos (Guía de gestión de riesgos CIA Triad (Confidentiality – Integrity – Availability)
SPDP, 2025) AIC (Accesibilidad – Integridad – Confidencialidad)
 Definiciones
Anonimización
- La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos
desproporcionados.

Seudonomización
- Es el tratamiento de los datos personales de tal forma que ya no puedan atribuirse a un titular identificado o identificable sin
utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y
organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona identificada o identificable.
- Ejemplos:
- Sustituir los nombres de los pacientes de un hospital por códigos numéricos, de modo que los médicos solo vean el código y la
clave de correspondencia esté guardada en un archivo seguro separado.
Cifrado
- Transforma los datos personales en un formato ininteligible para personas no autorizadas, utilizando algoritmos criptográficos.
Solo puede revertirse (descifrarse) con una clave o código seguro autorizado.
- Ejemplos:
- Enviar información financiera de los clientes a través de un canal seguro con cifrado AES-256, para que, aunque sea
interceptada, no pueda ser leída sin la clave.
- Guardar bases de datos de empleados con cifrado en reposo (disk encryption), asegurando que, si alguien accede físicamente
al servidor, no pueda ver los datos sin la clave de descifrado.

Anonimización = irreversible, ya no existe forma de volver a identificar al titular.

Seudonimización = reversible si se accede a la clave o tabla de correspondencia.
 NORMAS

COBIT 2019: COBIT 2019 Control OWASP ASVS: Estándar de OWASP Top Ten: Principales PCI DSS: Estándar de Seguridad FAIR Model: Factor Analysis of
Objectives for Information and Verificación de Seguridad en Riesgos en Aplicaciones Web para la Industria de Tarjetas de Information Risk
Related Technologies -arco de Aplicaciones •10 Riesgos más críticos en Pago •Modelo cuantitativo de gestión de
Gobierno y Gestión de TI • Open Web Application Security Project aplicaciones. •Obligatorio para empresas que riesgos.
•Asegura que TI esté alineado al negocio. Application Security Verification •Incluye inyecciones, XSS, control de procesan tarjetas de crédito/débito. •Permite calcular el impacto económico
•Define objetivos de gobierno, procesos Standard acceso, seguridad criptográfica, etc. •Protege datos del titular de tarjeta. de incidentes.
y prácticas. •Guía para probar la seguridad en •Referencia global en seguridad de •Requiere cifrado, segmentación de •Se usa en ciberseguridad y privacidad.
•Enfatiza la gestión de riesgos y valor de software. aplicaciones. redes y pruebas periódicas. •Ayuda a priorizar inversiones en
la información. •Divide controles en niveles (1, 2, 3) •Recurso esencial para desarrolladores y •Cumplimiento supervisado por Visa, controles.
•Utilizado por auditores y directivos de según criticidad. auditores Mastercard, AmEx.
TI. •Enfocado en autenticación, criptografía,
gestión de sesiones.
•Base para auditorías técnicas y de
código.
 NORMAS

ISO/IEC 27001: Sistema de Gestión ISO/IEC 27701: Gestión de la ISO/IEC 27002: Seguridad de la ISO/IEC 27005: Seguridad de la ISO/IEC 42001: Sistema de Gestión
de Seguridad de la Información (SGSI) Privacidad de la Información (PIMS) información, ciberseguridad y información, ciberseguridad y de la Inteligencia Artificial (SGIA)
•Norma internacional para proteger la • Requisitos para gestionar datos personales protección de la privacidad — protección de la privacidad: •Norma reciente para la IA confiable y
información. (PII). Controles de seguridad de la Orientación sobre la gestión de responsable.
•Se basa en el ciclo PHVA (Planear, Hacer, •Define roles de responsable y encargado. información riesgos de seguridad de la •Enfocada en riesgos éticos, de seguridad y de
Verificar, Actuar). •Compatible con RGPD y LOPDP. información privacidad.
•Proporciona controles prácticos de
•Define controles de seguridad (anexo A). seguridad. •Compatible con marcos regulatorios de IA.
Establece el proceso de gestión de riesgos.
•Busca confidencialidad, integridad y •Incluye medidas organizativas, físicas, •Ayuda a establecer gobernanza y controles en
disponibilidad. Incluye identificación, análisis, evaluación y proyectos de IA.
tecnológicas y de personas. tratamiento.
•Guía para implementar un SGSI. Permite alinear seguridad con los objetivos del
negocio.
Base para evaluaciones de impacto (PIA/DPIA).
NORMAS
Familia ISO 27000
 Estructura ISO 27001:2022

ESTRUCTURA GENERAL DE LA NORMA ISO 27001 : 2022

PLAN/PLANEAR DO/HACER CHECK/VERIFICAR ACT/ACTUAR

4. Contexto 5. Liderazgo 6. Planificación 7. Apoyo 8. Operación 9 Evaluación 10. Mejora

4.1 Entender la 6.1 Acciones para 9.1 Seguimiento,
5.1 Liderazgo y 8.1 Planificación y 10.1 Mejora
organización y su abordar riesgos y 7.1 Recursos medición, análisis y
contexto
compromiso oportunidades
control operativo continua
evaluación
4.2 Necesidades y 6.2 Objetivos SI y
8.2 Evaluación de 9.2 Auditoria 10. No
expectativas de las 5.2 Política del SGSI planificación para 7.2 Competencia
partes interesadas lograrlos
riesgos interna Conformidad
5.3 Funciones,
4.3 Determinación respons. y 8.3 Tratamiento de 9.3 Revisión por la
7.3 Conciencia
del alcance del SGSI autoridades riesgos dirección
4.4 Sistema de
gestión de seguridad 7.4 Comunicación
de la información
7.5 Información
documentada
 ISO 27002 Controles de
seguridad de la información
ISO 27701 Sistema de Gestión de
Privacidad de la Información
CICLO PDCA – SHEWHART DEMING
¿Cómo se trabaja bajo Sistemas de Gestión ?

➢ Política
Acciones Correctivas ➢ Aspectos Medioambientales
Acciones Preventivas y Riesgos de S.SO
Acciones de mejora ➢ Requisitos Legales
Revisión por la Dirección ➢ Objetivos y Programas
PLANIFICAR ➢ Procesos de realización
➢ Recursos
MEJORA ➢ Organización

Medida indicadores ➢ Documentación

Análisis de datos ➢ Requisitos del producto / servicio
Auditorías ➢ Compras a Proveedores
Inspecciones ➢ Prestación del servicio
Equipos de medida ➢ Trazabilidad de los procesos
No conformidades ➢ Control Operacional
Seguimiento y medición ➢ Capacitación, sensibilización y
Satisfacción clientes entrenamiento
IMPLEMENTAR ➢ Comunicación
➢ Conservación del producto
COMPROBAR ➢ Mantenimiento instalaciones

Plan (Planificar), Do (Hacer), Check (Verificar) y Act (Actuar).

FASES PARA LA IMPLEMENTACIÓN
Fase I: Diagnóstico
Situación de partida
Fase II: Elaboración de la Documentación

Fase II: Elaboración de la Documentación

Políticas, Procedimientos, Consentimiento informado

Contratos de Encargo, Acuerdos de confidencialidad
Gestión de riesgos – evaluación de impacto
Registro de acciones de tratamiento, Nombramiento Delegado
Fase III: Revisión de la Documentación

Fase III: Revisión de la Documentación

Fase IV: Formación e Implementación

Fase IV: Formación e Implementación Seguimiento

difusión / formación
de la implementación
apoyo puesta en marcha
supervisión sistema de medición
adaptación de documentación
Fase V: Auditoria Interna

Fase V: Auditoria Interna

Evaluación cumplimiento
evaluación grado de implementación
Fase VI: Certificación
análisis resultados indicadores (eficacia)
Fase VI: Certificación
Implementación de un Sistema de Gestión
De Protección de Datos Personales (SGPDP)

Es un conjunto de
políticas, normas y
procedimientos
documentados para
gestionar los datos
personales de una
organización durante todo
su ciclo de vida, con un
enfoque de riesgo y
cumplimiento normativo.
Objetivo del SGPDP

Proteger de forma efectiva los derechos y

libertades de los titulares de datos personales
mediante la gestión integral de riesgos, el
cumplimiento de principios legales y la adopción
de medidas técnicas, organizativas y jurídicas
que aseguren un tratamiento lícito, transparente
y seguro de la información, demostrando
responsabilidad proactiva frente a la autoridad y
los titulares.
Objetivos específicos del SGPDP

Implementar medidas jurídicas,

Gestionar riesgos asociados al tratamiento
organizativas y técnicas que aseguren que el
de datos personales, aplicando
tratamiento de datos personales se realice
Garantizar el derecho fundamental a la metodologías de identificación, análisis,
conforme a los principios de la ley (licitud,
protección de datos personales. evaluación y mitigación de riesgos (art. 40
transparencia, minimización,
LOPDP y arts. 29–32 RGLOPDP sobre gestión
proporcionalidad, responsabilidad proactiva,
de riesgos y evaluaciones de impacto).
etc.).

Demostrar cumplimiento del principio de

Seguridad de datos personales aplicando
Respetar y facilitar el ejercicio de los Integrar la privacidad por diseño y por
medidas de seguridad adecuadas
derechos de los titulares, asegurando defecto (privacy by design & by default) en
(organizativas, técnicas u otras), para
procedimientos para atención de solicitudes, procesos, productos y servicios que
proteger los datos personales frente a
reclamos y revocación del consentimiento involucren tratamiento de datos (art. 39
riesgos, amenazas y vulnerabilidades,
(arts. 12 - 17 LOPDP; arts. 6 RGLOPDP). LOPDP y art. 59 y 60 RGLOPDP).
considerando su naturaleza, ámbito y
contexto.

Prevenir y responder a incidentes de

seguridad y brechas de datos personales,
incluyendo la notificación a la Autoridad de
Protección de Datos Personales (SPDP) y a
los titulares afectados dentro de los plazos
legales (arts. 33–34 RGLOPDP).
Beneficios del SGPDP
Asegura el cumplimiento de la LOPDP, RGLOPDP y resoluciones de la SPDP.

Reduce el riesgo de sanciones económicas y legales (multas, inhabilitaciones, acciones judiciales).

Garantiza a clientes, empleados y proveedores el respeto a sus derechos.

Fortalece la confianza en la organización.

Gestión de riesgos: Identifica, evalúa y mitiga riesgos asociados al tratamiento de datos.

Permite implementar medidas técnicas y organizativas proporcionales al nivel de riesgo.

Demuestra compromiso ético y de responsabilidad social.