I. Crear políticas internas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión;

 

II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales;

 

III. Elaborar un inventario de datos personales y de los sistemas de tratamiento;

 

IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa mas no limitativa, hardware, software, personal del responsable, entre otros;

 

V. Efectuar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en la organización del responsable;

 

VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales;

 

VII. Monitorear y revisar, de manera periódica, las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y

 

VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su mando, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.