Artículo 36. Acciones para la seguridad de los datos personales. A fin de establecer y mantener la seguridad física y lógica de los datos personales, el responsable deberá realizar al menos las siguientes acciones, las cuales podrán ser requeridas en cualquier momento por la Agencia:

a) Elaborar una descripción detallada del tipo de datos personales tratados o almacenados;

b) Crear y mantener actualizado un inventario de la infraestructura tecnológica, incluyendo los equipos y programas de cómputo y sus licencias;

c) Señalar el tipo de sistema, programa, método o proceso utilizado en el tratamiento o almacenamiento de los datos;

d) Contar con un análisis de riesgos, que consiste en identificar peligros y estimar los riesgos que podrían afectar los datos personales;

e) Establecer las medidas de seguridad aplicables a los datos personales, e identificar aquellas implementadas de manera efectiva;

f) Calcular el riesgo residual existente basado en la diferencia de las medidas de seguridad existentes y aquéllas faltantes que resultan necesarias para la protección de los datos personales;

g) Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, derivados del resultado del cálculo del riesgo residual.