Apartado 1 de 28.- COMPROMISO DEL EQUIPO DIRECTIVO
¿Tiene identificados los requisitos de sus clientes, de sus productos, así como los Legales y Reglamentarios que aplican a su Organización?
¿Cuenta la organización con una Política de Inocuidad documentada?
¿La Dirección General comunica al resto del personal su compromiso con la inocuidad?
¿Cuénta con objetivos claros de inocuidad comunicados a todo el personal?
¿Cuenta la organización con un sistema de información confidencial que permita al personal comunicar problemas?
¿Se lleva a cabo algún tipo de planeación ante cambios generados, por ejemplo, nuevos productos o procesos para cumplir con los objetivos del negocio?
¿Se lleva a cabo algún tipo de revisión del funcionamiento de la organización anualmente?

Apartado 2 de 28.- CLAUSULA 6 - CONSIDERACIONES ESPECÍFICAS DEL ANEXO A DE LA ISO 27001
Las políticas de seguridad definidas, ¿incluyen orientación específica para la protección de datos de carácter personal?
¿La empresa establece acuerdos con los empleados y terceros donde se especifiquen las responsabilidades en materia de protección de datos personales?
¿Están identificadas las organizaciones externas que necesitan acceder, usar o gestionar información de carácter personal?
Los roles y responsabilidades definidos, ¿incluyen específicamente aquellas relacionadas con la seguridad de la información?
¿Los mecanismos de etiquetado y clasificaciónd e la información incluyen expresamente la información de carácter personal?
Las políticas de gestión de soportes extraíbles y dispositivos móviles ¿incluyen expresamente consideraciones específicas para la adecuada protección de la información de privacidad?
Los procedimientos de control de acceso a la información, ¿consideran expresamente los accesos a información de carácter personal y las necesidades al respecto?
¿Se aplican las medidas de criptografía adecuadas al nivel de criticidad de la información de carácter personal almacenada en los diferentes sistemas de tratamiento?
Para la definición de las medidas de seguridad física ¿se han considerado expresamente las necesidades y la criticidad de la información de carácter personal?
Si en su organización se realizan actividades de desarrollo, ¿se han considerado en las mismas actividades específicas para la protección de los datos personales que puedan verse afectados?
Los procedimientos de gestión de incidencias, ¿incluyen expresamente la sistemática para la gestión de las incidencias que afecten a los datos personales, de forma alineada a los requisitos de las normativas de aplicación?

Apartado 3 de 28.- CLAUSULA 7 - CONTROLES ESPECÍFICOS PARA CONTROLADORES DE PII
¿La organización dispone de una Política de Privacidad y Protección de Datos?
¿La organización identifica las actividades de tratamiento de datos personales que realiza y analiza formalmente la legitimzación de las mismas?
¿La Organización ha establecido compromisos de confidencialidad respecto de los tratamientos de datos que realiza?
¿La organización ha definido las responsabilidades necesarias en materia de protección de datos considerando la necesidad de nombrar responsables un Delegado de Protección de Datos y este tiene sus responsabilidades concretamente definidas?
¿La organización ha identificado los accesos por parte de terceros a los datos de carácter personal?
¿La organización identifica y considera los riesgos de seguridad relacionados con proveedores de servicios y terceros?
¿Se han firmado con terceros con acceso a datos los correspondientes contratos de encargado de tratamiento?
¿La organización ha definido instrucciones sobre derechos y deberes con respecto al uso adecuado de los sistemas de información por parte de los usuarios?
¿La organización ha establecido medios o procedimientos para la gestión de brechas de seguridad que afecten a datos personales, alineados con lo requerido en las normativas de protección de datos?
¿Se asegura que las comunicaciones de datos personales se ajustan a los supuestos legitimados por las normativas de protecció nde datos (requisito legal, consentimiento del afectado, necesario para mantener relación contractual,...?
¿La organización facilita, mediante formularios, la identidad del Responsable del Fichero, la finalidad del Tratamiento y el modo en el que se pueden ejercer los derechos que se indican en el presente documento?
¿La organización pone a disposición de los interesados los medios necesarios (fácilmente accesibles y gratuitos) para el ejercicio de los derechos de acceso, supresión, rectificación, portabilidad, oposición y limitación del tratamiento?
¿La organización recaba el consentimiento del afectado, por escrito, antes de proceder al tratamiento de sus datos personales en los casos requeridos por la normativa?
¿Se han identificado las transferencias internacionales de datos realizadas y la legitimazión de las mismas?
¿Se ha analizado la necesidad de realizar una Evaluación de Impacto en la Privacidad según los requisitos de la normativa de protección de datos, y se ha realizado en caso de que se haya identificado como necesario?

Apartado 4 de 28.- CLAUSULA 7 - CONTROLES ESPECÍFICOS PARA PROCESADODES DE PII
En los casos (si exsiten) en que su organización actúa como Procesador de Información de Privacidad por cuenta del Responsable de los datos (es decir, si actúa como Encargado del Tratamiento, ¿dispone de mecanismos adecuados para asegurar que se formalizan los correspondientes contratos de tratamiento en los que se regula cómo debe realizarse ese tratamiento?
En los casos que actúa como Encargado de Tratamiento, ¿se asegura que en los contratos con el Responsable (Controlador de PII) se contempla cómo debe afrontarse el ejercicio de los derechos de los afectados?
En los casos que actúa como Encargado de Tratamiento, ¿se asegura que en los acuerdos con el Responsable se contemplan las medidas de seguridad que es necesario aplicar?
Cuando actúa como Encargado de Tratamiento, ¿se define una sisteática eficaz para asegurar un interacción eficaz con el Responsable?
En los casos que actúa como Encargada del Tratamiento, ¿se han implementado en su organización mecanismos para asegurar que los datos únicamente se utilizarán para las finalidades encargadas por el Responsable?
En los casos en los que actúa como Encargado de Tratamiento, ¿se asegura de formalizar con el responsable cómo afrontar las posibles subcontrataciones, comunicaciones o transferencias de los datos personales?
En los casos en los que actúa como Encargado de Tratamiento, ¿se asegura de formalizar con el responsable el destino de los datos tras la finalización de la relación (devolución, destrucción, conservación,...?

Apartado 5 de 28.- CONTEXTO DE LA ORGANIZACIÓN
En el análsis de contexto de la organización, ¿se han considerado los tratamientos de datos personales realizados?
¿Se identifican las partes interesadas pertinentes a la organización y sus expectativas en relación con los datos de carácter personal, y se determinan los requisitos necesarios?
¿Dispone la organización, de los documentos necesarios para la planificación, operación y control eficaz de los procesos necesarios para asegurar la protección de los datos de carácter personal?
¿Están asignadas las responsabilidades relacionadas con la protección de datos de carácter personal teniendo en cuenta los requisitos de las normativas al respecto?
¿Se consideran en el análisis de riesgos aquellos que puedan estar relacionados con la privacidad o la protección de datos personales?

Apartado 6 de 28.- LIDERAZGO
¿Asegura la alta dirección el establecimiento de objetivos en materia de protección de datos personales?
La Política definida y aprobada por la Dirección, ¿incluye una orientación a la protección de datos personales y a la privacidad de las personas?
La política ¿Es apropiada para las actvidades de la organización y para el tipo datos personales que maneja?
¿Proporciona la alta dirección los recursos necesarios para una protección adecuada de los datos de carácter personal?
¿La Alta Dirección asigna las responsabilidades oportunas en relación con la protección de datos de carácter personal?
¿Asegura la alta dirección que se establecen los procesos apropiados de comunicación en la organización, relacionados con la protección de datos de carácter personal (autoridades de control, titulares de los datos,...?

Apartado 7 de 28.- PLANIFICACIÓN
¿En la planificación del sistema de gestión, se tienen en cuenta el contexto y las expectativas de las partes interesadas pertinentes,en relación con la protección de datos personales?
¿Se han establecido objetivos relacionados específicamente con la protección de datos personales de modo coherente y medibles, y alineado con las necesidades de la organización?
¿La sistemática de análisis de riesgos está orientada a las pérdidas de disponibilidad, continuidad e integridad de los datos de carácter personal?
¿Ha analizado la necesidad de realizar una Evaluación de Impacto en la Privacidad (atendiendo a los requisitos de la normativa)?¿Ha realizado dicha Evaluación en caso de que sea necesario para sus actividades de tratamiento?

Apartado 8 de 28.- APOYO
¿Proporciona la organización los recursos personales, materiales, de infraestructura y financieros necesarios para implementar, mantener y mejorar el sistema de gestión,en particular en relación con la protección de datos personales?
¿Se ha designado responsables o representantes relacionados con la protección de datos personales?
¿Se informa a la alta dirección del desempeño y evolución de la protección de la información de privacidad en su empresa?
¿La organización determina los conocimientos necesarios para la adecuada protección de los datos personales y el cumplimiento de las normativas al respecto?
¿Se revisan dichos conocimientos cuando se abordan necesidades y tendencias cambiantes?
¿La organización proporciona y evalúa la formación necesaria para asegurar un nivel de concienciación y competencia adecuado para la protecció de los datos personales?
¿Están establecidos los medios de comunicación necesarios para una interacción eficaz con los afectados y con las autoridades de control, en relación a la protección de datos personales?
¿Dispone la organización de la información documentada exigida por la norma?

Apartado 9 de 28.- OPERACIÓN
¿La organización realiza apreciaciones de riesgo a intervalos planificados que incluyen riesgos asociados a la privacidad y la protección de datos personales?
En caso de realizarse ¿los análissi de riesgos están enfocados a las pérdidas de condidencialidad, integridad y disponibilidad de los datos personales?
¿La organización implementa el plan de tratamiento de riesgos necesario en base a los resultados del anáilsis de los riesgos de privacidad?
¿Se ha desarrollado de manera documentada una Declaración de Aplicabilidad, que incluye las medidas específicas para controladores o procesadores de Información de Privacidad (Anexos A y B de ISO 27701)?

Apartado 10 de 28.- EVALUACIÓN DEL DESEMPEÑO
¿Se implanta y planifica los procesos de seguimiento, medición, análisis y mejora relacionados con la protección de datos de carácter personal?
¿Se han definido indicadores que permiten verificar la eficacia de las medidas implementadas para la protección de datos de carácter personal y el cumplimiento de las normativas de protección de datos?
Se evalua periódicamente el cumplimiento de los requisitos legales de aplicación?
Las auditorías realizadas a intervalos planificados, ¿incluyen evaluación y análisis de las medidas implementadas para la protección de datos de carácter personal?
En el proceso de Revisión del Sistema por parte de Dirección, realizado con carácter periódico ¿se considera expresamente el desempeño en la protección de datos personales?

Apartado 11 de 28.- MEJORA
En la determinación de las oportunidades de mejora ¿se considera expresamente la protección de la información de privacidad?
El proceso de acciones correctivas y no conformidades ¿incluye las relacionadas con la protección de datos personales?
¿Considera la organización los resultados de la evaluación del desempeño en la protección de datos personales para determinar las necesidades y oportunidades que se deben considerar como parte de la mejora continua??

Apartado 12 de 28.- CLAUSULA 6 - CONSIDERACIONES ESPECÍFICAS DEL ANEXO A DE LA ISO 27001
Las políticas de seguridad definidas, ¿incluyen orientación específica para la protección de datos de carácter personal?
¿La empresa establece acuerdos con los empleados y terceros donde se especifiquen las responsabilidades en materia de protección de datos personales?
¿Están identificadas las organizaciones externas que necesitan acceder, usar o gestionar información de carácter personal?
Los roles y responsabilidades definidos, ¿incluyen específicamente aquellas relacionadas con la seguridad de la información?
¿Los mecanismos de etiquetado y clasificaciónd e la información incluyen expresamente la información de carácter personal?
Las políticas de gestión de soportes extraíbles y dispositivos móviles ¿incluyen expresamente consideraciones específicas para la adecuada protección de la información de privacidad?
Los procedimientos de control de acceso a la información, ¿consideran expresamente los accesos a información de carácter personal y las necesidades al respecto?
¿Se aplican las medidas de criptografía adecuadas al nivel de criticidad de la información de carácter personal almacenada en los diferentes sistemas de tratamiento?
Para la definición de las medidas de seguridad física ¿se han considerado expresamente las necesidades y la criticidad de la información de carácter personal?
Si en su organización se realizan actividades de desarrollo, ¿se han considerado en las mismas actividades específicas para la protección de los datos personales que puedan verse afectados?
Los procedimientos de gestión de incidencias, ¿incluyen expresamente la sistemática para la gestión de las incidencias que afecten a los datos personales, de forma alineada a los requisitos de las normativas de aplicación?

Apartado 13 de 28.- CLAUSULA 7 - CONTROLES ESPECÍFICOS PARA CONTROLADORES DE PII
¿La organización dispone de una Política de Privacidad y Protección de Datos?
¿La organización identifica las actividades de tratamiento de datos personales que realiza y analiza formalmente la legitimzación de las mismas?
¿La Organización ha establecido compromisos de confidencialidad respecto de los tratamientos de datos que realiza?
¿La organización ha definido las responsabilidades necesarias en materia de protección de datos considerando la necesidad de nombrar responsables un Delegado de Protección de Datos y este tiene sus responsabilidades concretamente definidas?
¿La organización ha identificado los accesos por parte de terceros a los datos de carácter personal?
¿La organización identifica y considera los riesgos de seguridad relacionados con proveedores de servicios y terceros?
¿Se han firmado con terceros con acceso a datos los correspondientes contratos de encargado de tratamiento?
¿La organización ha definido instrucciones sobre derechos y deberes con respecto al uso adecuado de los sistemas de información por parte de los usuarios?
¿La organización ha establecido medios o procedimientos para la gestión de brechas de seguridad que afecten a datos personales, alineados con lo requerido en las normativas de protección de datos?
¿Se asegura que las comunicaciones de datos personales se ajustan a los supuestos legitimados por las normativas de protecció nde datos (requisito legal, consentimiento del afectado, necesario para mantener relación contractual,...?
¿La organización facilita, mediante formularios, la identidad del Responsable del Fichero, la finalidad del Tratamiento y el modo en el que se pueden ejercer los derechos que se indican en el presente documento?
¿La organización pone a disposición de los interesados los medios necesarios (fácilmente accesibles y gratuitos) para el ejercicio de los derechos de acceso, supresión, rectificación, portabilidad, oposición y limitación del tratamiento?
¿La organización recaba el consentimiento del afectado, por escrito, antes de proceder al tratamiento de sus datos personales en los casos requeridos por la normativa?
¿Se han identificado las transferencias internacionales de datos realizadas y la legitimazión de las mismas?
¿Se ha analizado la necesidad de realizar una Evaluación de Impacto en la Privacidad según los requisitos de la normativa de protección de datos, y se ha realizado en caso de que se haya identificado como necesario?

Apartado 14 de 28.- MEJORA
En la determinación de las oportunidades de mejora ¿se considera expresamente la protección de la información de privacidad?
El proceso de acciones correctivas y no conformidades ¿incluye las relacionadas con la protección de datos personales?
¿Considera la organización los resultados de la evaluación del desempeño en la protección de datos personales para determinar las necesidades y oportunidades que se deben considerar como parte de la mejora continua??

Apartado 15 de 28.- EVALUACIÓN DEL DESEMPEÑO
¿Se implanta y planifica los procesos de seguimiento, medición, análisis y mejora relacionados con la protección de datos de carácter personal?
¿Se han definido indicadores que permiten verificar la eficacia de las medidas implementadas para la protección de datos de carácter personal y el cumplimiento de las normativas de protección de datos?
Se evalua periódicamente el cumplimiento de los requisitos legales de aplicación?
Las auditorías realizadas a intervalos planificados, ¿incluyen evaluación y análisis de las medidas implementadas para la protección de datos de carácter personal?
En el proceso de Revisión del Sistema por parte de Dirección, realizado con carácter periódico ¿se considera expresamente el desempeño en la protección de datos personales?

Apartado 16 de 28.- ESTRUCTURA ORGANIZATIVA, RESPONSABILIDADES Y EQUIPO DE GESTIÓN
¿Dispone su organización de un organigrama que refleje cuales son los puestos de trabajo y la relación jerárquica entre ellos?
Las funciones y responsabilidades de cada puesto de trabajo ¿están definidas? ¿Son conocidas por los trabajadores?
¿Se encuentra definido un sistema de delegación de responsabilidades en caso de ausencias de personal?

Apartado 17 de 28.- PLAN DE SEGURIDAD ALIMENTARIA: APPCC
¿Cuenta con un equipo comprometido, multidisciplinario, con experiencia en Inocuidad Alimentaria?
¿Se cuenta con descripción de las materias primas e ingredientes utilizados, así como su tratamiento y uso planeado?
¿Tiene un diagrama de flujo identificando todas las etapas del proceso, entradas y salidas, así como reprocesos o productos intermedios y está vigente?
¿Se ha desarrollado un Análisis de Peligros, desarrollado y documentado por personal con experiencia, para todos los procesos, materias primas e ingredientes y productos terminados?
¿Están identificados los peligros físicos, químicos y biológicos que pudieran estar presentes en el proceso o los productos?
¿El Análisis de Peligros fue realizado por el equipo de Inocuidad y está basado en una buena metodología: datos científicos, técnicos o bibliográficos?
¿Tiene identificados los Puntos Críticos de Control (PCC´s) en su proceso?
¿Se han establecido Límites Críticos para cada Punto Crítico de Control - PCC?
¿Mantiene registros del monitoreo de los PCC?
¿Se ha creado un procedimiento documentado con la descripción sobre como llevar a cabo las actividades del monitoreo?

Apartado 18 de 28.- SISTEMA DE GESTIÓN DE LA CALIDAD Y SEGURIDAD ALIMENTARIA
¿Mantiene sus registros por un periodo mínimo de 12 meses posteriores a la vida útil del producto?
¿Realiza auditorías internas en su organización?
¿En el programa de auditorías se incluyen cuatro fechas de auditoría diferentes?
¿Se realizan copias de seguridad para la documentación almacenada de forma electrónica?
¿Se cuenta con un sistema de trazabilidad y se ha validado al menos una vez al año?
¿Se cuenta con procedimientos para tratar el producto potencialmente no inocuo?
¿Cuenta con un procedimiento documentado, que defina las responsabilidades para realizar un retiro de producto de mercado, cuando el producto tenga la sospecha de presentar problemas de inocuidad?, ¿Se ha probado?
¿Cuenta con un Manual de calidad impreso o en formato electrónico?
¿Ha establecido su organización algún control sobre los documentos que maneja?

Apartado 19 de 28.- NORMAS RELATIVAS AL ESTABLECIMIENTO
¿Tiene su organización los medios (edificios, equipos, máquinas, herramientas...) adecuados para proporcionar productos seguros? Por ejemplo, equipamiento de acero inoxidable, pisos y paredes adecuados, etc.
¿En su organización se lleva a cabo algún tipo de plan de mantenimiento de los equipos y máquinas?
¿Se cuenta con un plano de distribución (Lay Out) de las instalaciones donde se identifiquen patrones de movimiento de materiales, productos y personal, así como la distribución del producto para prevenir la contaminación?
¿La planta cuenta con las instalaciones adecuadas? Por ejemplo, uniones redondeadas, protección contra plagas, equipos y utensilios de acero inoxidable, iluminación adecuada, zona de consumo de alimentos para los empleados,
¿Dispone de vestuarios y sanitarios tanto para personal de la organización como para visitantes y subcontratistas?
¿Cuenta la organización con un programa de vigilancia ambiental?

Apartado 20 de 28.- CONTROL DEL PRODUCTO
¿Se toman en cuenta los cambios de diseño y desarrollo para nuevos productos o procesos o cualquier cambio introducido en los procesos de envasado y fabricación, con el obejto de garantizar la producción de productos inocuos?
Para el etiquetado de los productos, ¿se han tomado en cuenta los requisitos legales nacionales o extranjeros?
¿Se tienen identificados los materiales alergénicos y los productos en los que intervienen, a fin de minimizar una posible contaminación cruzada?

Apartado 21 de 28.- CONTROL DE PROCESOS
Las operaciones de la organización, ¿cuentan con instrucciones de trabajo para garantizar productos que cumplan las especificaciones de sus clientes?
Los controles para verificar las variables de operación como por ejemplo: peso, volumen, unidades, están documentadas? Se toma en cuenta la identificación de los productos.
En lo que se refiere a los equipos de medición (básculas, termómetros, pies de rey, micrómetros, manómetros...)

Apartado 22 de 28.- PERSONAL
¿Están definidas las competencias (formación, experiencia...) que deben tener cada uno de los trabajadores para desempeñar su función correctamente?
Los visitantes que acceden a la zona de producción, ¿reciben formación previa?
¿Recibe el personal formación en cuanto al etiquetado de los productos?
¿Conserva un expediente de sus trabajadores, incluyendo su CV, formación, diplomas o registros, datos médicos, etc.?
¿Tiene definidas políticas para el personal (Buenas Prácticas de Higiene) para el acceso a las zonas productivas, incluyendo subcontratistas y visitantes?
¿Se han realizan exámenes médicos al personal que está involucrado en la fabricación del producto?
¿Cuenta con equipo de protección para acceder a las zonas productivas?

Apartado 23 de 28.- CONTEXTO DE LA ORGANIZACIÓN
En el análsis de contexto de la organización, ¿se han considerado los tratamientos de datos personales realizados?
¿Se identifican las partes interesadas pertinentes a la organización y sus expectativas en relación con los datos de carácter personal, y se determinan los requisitos necesarios?
¿Dispone la organización, de los documentos necesarios para la planificación, operación y control eficaz de los procesos necesarios para asegurar la protección de los datos de carácter personal?
¿Están asignadas las responsabilidades relacionadas con la protección de datos de carácter personal teniendo en cuenta los requisitos de las normativas al respecto?
¿Se consideran en el análisis de riesgos aquellos que puedan estar relacionados con la privacidad o la protección de datos personales?

Apartado 24 de 28.- LIDERAZGO
¿Asegura la alta dirección el establecimiento de objetivos en materia de protección de datos personales?
La Política definida y aprobada por la Dirección, ¿incluye una orientación a la protección de datos personales y a la privacidad de las personas?
La política ¿Es apropiada para las actvidades de la organización y para el tipo datos personales que maneja?
¿Proporciona la alta dirección los recursos necesarios para una protección adecuada de los datos de carácter personal?
¿La Alta Dirección asigna las responsabilidades oportunas en relación con la protección de datos de carácter personal?
¿Asegura la alta dirección que se establecen los procesos apropiados de comunicación en la organización, relacionados con la protección de datos de carácter personal (autoridades de control, titulares de los datos,...?

Apartado 25 de 28.- PLANIFICACIÓN
¿En la planificación del sistema de gestión, se tienen en cuenta el contexto y las expectativas de las partes interesadas pertinentes,en relación con la protección de datos personales?
¿Se han establecido objetivos relacionados específicamente con la protección de datos personales de modo coherente y medibles, y alineado con las necesidades de la organización?
¿La sistemática de análisis de riesgos está orientada a las pérdidas de disponibilidad, continuidad e integridad de los datos de carácter personal?
¿Ha analizado la necesidad de realizar una Evaluación de Impacto en la Privacidad (atendiendo a los requisitos de la normativa)?¿Ha realizado dicha Evaluación en caso de que sea necesario para sus actividades de tratamiento?

Apartado 26 de 28.- APOYO
¿Proporciona la organización los recursos personales, materiales, de infraestructura y financieros necesarios para implementar, mantener y mejorar el sistema de gestión,en particular en relación con la protección de datos personales?
¿Se ha designado responsables o representantes relacionados con la protección de datos personales?
¿Se informa a la alta dirección del desempeño y evolución de la protección de la información de privacidad en su empresa?
¿La organización determina los conocimientos necesarios para la adecuada protección de los datos personales y el cumplimiento de las normativas al respecto?
¿Se revisan dichos conocimientos cuando se abordan necesidades y tendencias cambiantes?
¿La organización proporciona y evalúa la formación necesaria para asegurar un nivel de concienciación y competencia adecuado para la protecció de los datos personales?
¿Están establecidos los medios de comunicación necesarios para una interacción eficaz con los afectados y con las autoridades de control, en relación a la protección de datos personales?
¿Dispone la organización de la información documentada exigida por la norma?

Apartado 27 de 28.- OPERACIÓN
¿La organización realiza apreciaciones de riesgo a intervalos planificados que incluyen riesgos asociados a la privacidad y la protección de datos personales?
En caso de realizarse ¿los análissi de riesgos están enfocados a las pérdidas de condidencialidad, integridad y disponibilidad de los datos personales?
¿La organización implementa el plan de tratamiento de riesgos necesario en base a los resultados del anáilsis de los riesgos de privacidad?
¿Se ha desarrollado de manera documentada una Declaración de Aplicabilidad, que incluye las medidas específicas para controladores o procesadores de Información de Privacidad (Anexos A y B de ISO 27701)?

Apartado 28 de 28.- CLAUSULA 7 - CONTROLES ESPECÍFICOS PARA PROCESADODES DE PII
En los casos (si exsiten) en que su organización actúa como Procesador de Información de Privacidad por cuenta del Responsable de los datos (es decir, si actúa como Encargado del Tratamiento, ¿dispone de mecanismos adecuados para asegurar que se formalizan los correspondientes contratos de tratamiento en los que se regula cómo debe realizarse ese tratamiento?
En los casos que actúa como Encargado de Tratamiento, ¿se asegura que en los contratos con el Responsable (Controlador de PII) se contempla cómo debe afrontarse el ejercicio de los derechos de los afectados?
En los casos que actúa como Encargado de Tratamiento, ¿se asegura que en los acuerdos con el Responsable se contemplan las medidas de seguridad que es necesario aplicar?
Cuando actúa como Encargado de Tratamiento, ¿se define una sisteática eficaz para asegurar un interacción eficaz con el Responsable?
En los casos que actúa como Encargada del Tratamiento, ¿se han implementado en su organización mecanismos para asegurar que los datos únicamente se utilizarán para las finalidades encargadas por el Responsable?
En los casos en los que actúa como Encargado de Tratamiento, ¿se asegura de formalizar con el responsable cómo afrontar las posibles subcontrataciones, comunicaciones o transferencias de los datos personales?
En los casos en los que actúa como Encargado de Tratamiento, ¿se asegura de formalizar con el responsable el destino de los datos tras la finalización de la relación (devolución, destrucción, conservación,...?
