Risk & Governance

Nivel de Madurez de un Programa de Privacidad

Julio Huerta

Julio Huerta

4 min read
Nivel de Madurez de un Programa de Privacidad
pexels-photo-669615.jpeg

(Modelo AICPA – CICA)

Una forma de medir la sofisticación o desarrollo general de un programa de privacidad de una organización es determinando su nivel de madurez. Inicialmente desarrollado por el Instituto Americano de Contadores Públicos Certificados (American Institute of Certified Public Accountants - AICPA) y el Instituto Canadiense de Contadores Públicos (Canadian Institute of Chartered Accountants - CICA), el Modelo de Madurez de Privacidad (“Modelo” o “MMP”) ha ganado una amplia aceptación como un medio para medir el nivel de desarrollo e implementación de un Programa de Privacidad.

En el marco del Modelo, “Privacidad” se define como los derechos y obligaciones de los individuos y las organizaciones con respecto a la recopilación, el uso, la retención, la divulgación y la disposición de información personal. A su vez, por “información personal”, el MMP señala que:

“(…) es información sobre, o que puede estar relacionada con, una persona identificable, como el nombre, la fecha de nacimiento, la dirección, el número de teléfono de la casa o el número de un empleado. La información personal también incluye información médica, características físicas, comportamiento y otras características.”

En este contexto, el Modelo posee las características siguientes:

  • Está basado en los Principios de Privacidad Generalmente Aceptados[1] (GAPP, por sus siglas en inglés) para ayudar a las organizaciones a fortalecer sus políticas de privacidad, procedimientos y prácticas relacionados con el procesamiento de información personal.
  • Puede utilizarse como una base para informar sobre el estado del programa y las iniciativas de privacidad de la organización.
  • Proporciona a las organizaciones un medio útil y efectivo para evaluar su programa de privacidad frente a un modelo de madurez reconocido, con la ventaja adicional de identificar los próximos pasos necesarios para mejorar la protección de la privacidad.
  • Utiliza cinco niveles de madurez para describir la robustez del programa de privacidad de una organización. Los cinco niveles de madurez evalúan el grado de desarrollo e implementación de cada uno de los 73 criterios relacionados con los GAPP. Dicho de otra manera, cada uno de los 73 criterios GAPP se desglosa según los cinco niveles de madurez, lo cual permite a las organizaciones obtener una imagen de su programa o iniciativas de privacidad tanto de su estado de madurez como de su avance, a través de revisiones sucesivas.
  • Cada nivel es construido sobre el nivel de madurez que le precede, reconociendo que no en todas las organizaciones el nivel de madurez debe encontrarse al máximo para que se logre un nivel aceptable de protección de datos.

Los cinco niveles de madurez empleados por el MMP son los siguientes:

  • Ad hoc (Ad hoc) – Los procedimientos o procesos son generalmente informales, incompletos y se aplican de manera inconsistente.
  • Repetible (Repeatable) – Existen procesos o procedimientos; sin embargo, no están completamente documentados y no cubren todos los aspectos relevantes.
  • Definido (Defined)Los procesos y procedimientos están completamente documentados e implementados y cubren todos los aspectos relevantes.
  • Administrado (Managed) – Se realizan revisiones para evaluar la eficacia de los controles establecidos.
  • Optimizado (Optimized) – Se llevan a cabo revisiones y comentarios regulares para garantizar la mejora continua hacia la optimización del proceso dado.

La aplicación del Modelo consiste básicamente en que los usuarios del MMP (por ejemplo, auditores o consultores) establezcan una expectativa respecto de las actividades, documentos, políticas, procedimientos y otra información para cada nivel de madurez, y la comparen con el estado actual de las iniciativas de privacidad de la organización, asignando un puntaje a cada criterio. Al determinar y documentar los requisitos del siguiente nivel superior en el MMP, las organizaciones decidirán si inician o no nuevos proyectos para la protección de la privacidad y cuándo, para elevar su nivel de madurez. El Modelo puede ser de utilidad para identificar situaciones en las que el nivel de madurez ha disminuido, así como identificar oportunidades y requisitos para tomar medidas correctivas y de mejora.

Como se ha referido anteriormente, al desarrollar un MMP, las prácticas de privacidad de la información personal de cada organización pueden encontrarse en varios niveles, ya sea debido a requisitos legislativos, políticas corporativas o el estado de las iniciativas de privacidad de la organización. Según el enfoque de riesgo de una organización, no todas las iniciativas de privacidad necesitarían alcanzar el nivel más alto en el modelo de madurez.

Finalmente, es importante señalar que el Modelo está diseñado para ser utilizado por organizaciones que tienen una función de privacidad y algunos componentes de un programa de privacidad (por ejemplo, un patrocinador de proyectos de privacidad, un comité de supervisión que incluya a representantes de distintas áreas de la organización, entre otros).

Fuente de consulta

*Las ideas y opiniones difundidas en este Blog son emitidas a título personal, y no representan puntos de vista o posturas oficiales pertenecientes a ninguna institución, entidad u organismo, de carácter público o privado.

[1] Los Generally Accepted Privacy Principles (GAPP) se han desarrollado desde una perspectiva comercial, haciendo referencia a algunas regulaciones de privacidad locales, nacionales e internacionales. Los GAPP se conforman por 10 principios de privacidad: 1. Management; 2. Notice; 3. Choice and consent; 4. Collection; 5. Use, retention and disposal; 6. Access; 7. Disclosure to third parties; 8. Security for privacy; 9. Quality y 10. Monitoring and enforcement.  Para más información, véase AICPA and CICA (2009), Generally Accepted Privacy Principles, disponibles en el vínculo electrónico: https://iapp.org/media/presentations/11Summit/DeathofSASHO2.pdf.

Read more

Security Management Planning as a Governance and Compliance Instrument

Introduction Security management planning is a critical organizational process that enables the structured creation, implementation, and enforcement of an information security policy. While often treated as a technical or operational concern, security management planning performs a broader governance function by establishing how organizations protect information assets, physical facilities, personnel, and

By Julio Huerta