Artículo 36. Acciones para la seguridad de los datos personales. A
fin de establecer y mantener la seguridad física y lógica de los datos
personales, el responsable deberá realizar al menos las siguientes acciones,
las cuales podrán ser requeridas en cualquier momento por la Agencia:
a) Elaborar
una descripción detallada del tipo de datos personales tratados o almacenados;
b) Crear
y mantener actualizado un inventario de la infraestructura tecnológica, incluyendo
los equipos y programas de cómputo y sus licencias;
c) Señalar
el tipo de sistema, programa, método o proceso utilizado en el tratamiento o almacenamiento
de los datos;
d) Contar
con un análisis de riesgos, que consiste en identificar peligros y estimar los riesgos
que podrían afectar los datos personales;
e) Establecer
las medidas de seguridad aplicables a los datos personales, e identificar aquellas
implementadas de manera efectiva;
f) Calcular
el riesgo residual existente basado en la diferencia de las medidas de
seguridad existentes y aquéllas faltantes que resultan necesarias para la
protección de los datos personales;
g) Elaborar
un plan de trabajo para la implementación de las medidas de seguridad faltantes,
derivados del resultado del cálculo del riesgo residual.
|