Posted on

Políticas de seguridad de datos

3º Fase

Protección de datos e implantación de medidas de seguridad

Las empresas deben adoptar las medidas de carácter técnico, organizativo y/o juridico que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

Existen tres niveles de seguridad, se fijan en función del nivel de seguridad correspondiente al fichero, y en función del soporte del mismo (automatizado o no automatizado).

Elaborar el documento de seguridad, que recoge las medidas tecnicas y organizativas de obligado cumplimiento para el personal con acceso a los sistemas de información cuanto éstos incorporen datos de carácter personal.

Definir un responsable de seguridad.

El responsable de seguridad coordina y controla las medidas de seguridad implementadas en la empresa. Así, estará siempre informado acerca de cualquier suceso que pueda afectar a los ficheros con datos de carácter personal.

Divulgar la normativa de seguridad al personal.

Se deben adoptar las medidas necesarias para que todo el personal de la empresa conozca las normas de seguridad que afectan al desarrollo de sus funciones.

Establecer un procedimiento de notificación, gestión y respuesta ante incidencias.

El registro de incidencias permite disponer de un control completo, exacto y detallado de cualquier problema que pueda ocurrir dentro de los sistemas de información que traten datos de cáracter personal, con el fin de definir las responsabilidades y medidas correctivas a ejecutar en caso de ocurrir dichas irregularidades.

Definir y documentar los procedimientos de control

El acceso a los recursos informaticos y documentales dentro de la empresa debe estar restringido y autorizado, con el objetivo de asegurar que la información este disponible solo para los usuarios afectados o interesados.

Disponer de copias de respaldo

La copia de seguridad o copia de respaldo de un fichero es la copia de datos que permite restaurarlos en el caso de una pérdida de información.

Establecer mecanismos de control en el caso de traslado de documentación

Cuando haya de ser trasladada fuera de su ubicacín original, se han de aplicar medidas de seguridad que eviten el acceso a los datos por parte de terceras personas.

Realizar auditorías

Obligación de realizar una auditoría bienal a partir del tratamiento de ficheros automatizados y no automatizados de nivel medio, esto implica someterse, al menos, cada dos años a una auditoria interna o externa que verifique el cumplimiento de las medidas de seguridad previstas en el RDLOPD

 

Posted on

Legitimación de Datos

2º Fase

Legitimación de los datos

Esta fase prevé la observación de una serie de principios básicos y obligaciones que deben de regir el tratamiento y recogida de datos por parte de las pymes. 

Recogida de los datos:

Principios que debe ser observado por el responsable en el tratamiento de los datos

Los datos deben tratarse de manera leal y lícita, con fines determinados, explícitos y legítimos, deberán de ser exactos y mantenerse actualizados, sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para el que han sido recogidos.

Para cumplir con éxito esta segunda fase de implementación de la normativa sobre protección de datos, por lo tanto deberá de cumplir con las siguientes obligaciones:

    • Informar al interesado sobre la recogida de datos
    • Solicitar el consentimiento del interesado para que la empresa pueda utilizar sus datos 
    • Atender los derechos de acceso, rectificación, cancelación, y oposición (derechos A.R.C.O) que ejerzan los ciudadanos titulares de los datos.
    • Observar las disposiciones previstas en lay en los casos en que se transmitan los datos fuera del Espacio Económico Europeo.
    • Deber de guardar secreto.

 

Posted on

Adaptación de los ficheros

1º Fase

Adaptación de los ficheros

El primer paso es identificar los ficheros con datos personales que estén siendo manejados por la empresa y que están sujetos a las disposiciones sobre protección de datos.

Una vez determinada la existencia efectiva de ficheros con datos de cáracter personales, el primer requisito es la notificación de los mismos ante el registro de la AEPD, tienen tres modalidades de presentación de la documentación: en papel, a tráves de Internet, y a tráves de Internet con certificado digital (firma electronica), en cualquier de los tres casos, las solicitiudes de inscripción de ficheros deberá de hacerse a tráves del formulario electronico de notificaciones telematicas a la AEPD (NOTA).