3º Fase
Protección de datos e implantación de medidas de seguridad
Las empresas deben adoptar las medidas de carácter técnico, organizativo y/o juridico que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Existen tres niveles de seguridad, se fijan en función del nivel de seguridad correspondiente al fichero, y en función del soporte del mismo (automatizado o no automatizado).
Elaborar el documento de seguridad, que recoge las medidas tecnicas y organizativas de obligado cumplimiento para el personal con acceso a los sistemas de información cuanto éstos incorporen datos de carácter personal.
Definir un responsable de seguridad.
El responsable de seguridad coordina y controla las medidas de seguridad implementadas en la empresa. Así, estará siempre informado acerca de cualquier suceso que pueda afectar a los ficheros con datos de carácter personal.
Divulgar la normativa de seguridad al personal.
Se deben adoptar las medidas necesarias para que todo el personal de la empresa conozca las normas de seguridad que afectan al desarrollo de sus funciones.
Establecer un procedimiento de notificación, gestión y respuesta ante incidencias.
El registro de incidencias permite disponer de un control completo, exacto y detallado de cualquier problema que pueda ocurrir dentro de los sistemas de información que traten datos de cáracter personal, con el fin de definir las responsabilidades y medidas correctivas a ejecutar en caso de ocurrir dichas irregularidades.
Definir y documentar los procedimientos de control
El acceso a los recursos informaticos y documentales dentro de la empresa debe estar restringido y autorizado, con el objetivo de asegurar que la información este disponible solo para los usuarios afectados o interesados.
Disponer de copias de respaldo
La copia de seguridad o copia de respaldo de un fichero es la copia de datos que permite restaurarlos en el caso de una pérdida de información.
Establecer mecanismos de control en el caso de traslado de documentación
Cuando haya de ser trasladada fuera de su ubicacín original, se han de aplicar medidas de seguridad que eviten el acceso a los datos por parte de terceras personas.
Realizar auditorías
Obligación de realizar una auditoría bienal a partir del tratamiento de ficheros automatizados y no automatizados de nivel medio, esto implica someterse, al menos, cada dos años a una auditoria interna o externa que verifique el cumplimiento de las medidas de seguridad previstas en el RDLOPD