5 buenas y sencillas prácticas en materia de Protección de Datos (2)

15 abril 2010

Siguiendo con la serie 5 buenas y sencillas practicas en materia de Protección de Datos, le toca el turno ahora a los requerimientos jurídicos a la hora de llevar a cabo una buena gestión LOPD.


 

  • Documento de Seguridad. Se trata básicamente de un manual de procedimientos, donde quedan reflejados todos los procesos relativos a la seguridad y la protección de datos. Los procedimientos documentados serán tanto de carácter técnico como jurídico. En el se pueden reflejar, además de los procedimientos que la norma fija como mínimos (Art. 3 y ss del RD 1720/2007), aquellos que contemplen aspectos relativos a la seguridad física o lógica de la organización. El Documento de Seguridad, por filosofía, es un documento que está “vivo”, es decir, que ha de ir creciendo y actualizándose con la organización. Un documento de seguridad que esté en un cajón del responsable de seguridad y que no esté actualizado ni sea consultado, no tiene ningún valor. Cabe decir que el formato que este documento ha de tener, se ha de ajustar a la propia organización: en algunas será una carpeta con anillas, en otra un documento electrónico en la intranet y entre medio, mil variantes. Mientras sea útil, el formato es indistinto. En nuestra web pueden encontrar un modelo de documento de seguridad para su descarga.
  • Contrato de acceso a datos por cuenta de terceros. Es importante tener claramente identificados cuales son los profesionales que nos darán algún tipo de servicio con los datos personales que manejamos o tendrán acceso a ellos de alguna manera. Los casos más sencillos pueden: el gestor que nos confecciona las nóminas de los empleados o la empresa de mantenimiento informático, que accede a nuestras instalaciones (bien en remoto o in situ) para operaciones de gestión o actualización. Con estos profesionales o empresas, habrá que tener suscrito un contrato de acceso a datos por cuenta de terceros, tal como se refleja en la norma (Art. 12 de LO 15/1999 de 13 de diciembre). Este contrato recogerá los términos de la colaboración, el uso que se va a hacer de los datos accedidos, los clausulados de privacidad y confidencialidad de los datos,etc. Es decir, todo el marco que va a regular la prestación del servicio.
  • Clausulados. La norma obliga al responsable de fichero a informar a los posibles afectados del uso y destino de los datos personales que nos ceden. El uso de clausulado adecuados, donde se especifiquen estos términos nos evitará muchos problemas. Como mínimo indicar: Responsable de Fichero, dirección para el ejercicio de los derechos, uso que se va a dar de los datos y posibles cesiones. Los clausulados deberán aparecer allá donde se recojan datos personales: formularios de inscripción, formularios de contacto, web, etc
  • Información a los usuarios. Sin duda un aspecto vital. Una buena implantación, pasa por una concienciación adecuada de los usuarios respecto a las políticas implantadas. El conocimiento de sus obligaciones, la correcta definición de sus perfiles, una buena comunicación de las políticas de seguridad, el conocimiento de los procedimientos de los ejercicios de derechos. Todo esto, completado con una adecuada formación sobre la norma, posibilita que los usuarios tomen conciencia de la necesidad de proteger los datos de los afectados, pues comprenden que también se protegen los suyos. Se recomienda siempre tener constancia de la entrega de la documentación al respecto a los usuarios, para evitar aquello de “yo no lo sabia”.

  • Auditoría. De forma bianual, si no ha habido un cambio importante en la estructura. Se trata de proceso multidisciplinar, en que se llevan a cabo comprobaciones tanto técnicas como jurídicas. El flujo de datos (entrada, gestión, salida), la implantación de las políticas detalladas en el Documento de Seguridad: backup/recuperación, gestión de usuarios, control de accesos, telecomunicaciones, relaciones con terceros, cesiones de datos, control de incidencias, seguridad física y lógica, estado de los sistemas, etc ; serían algunos de los puntos a verificar en un proceso auditor.

Artículos relacionados

Comentarios

Aviso legal:
En cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, le informamos de que sus datos personales serán incorporados a nuestros Ficheros, pudiendo ser cedidos a los Organismos Públicos que legalmente corresponda. Sus datos serán empleados para el cumplimiento de los fines directamente relacionados con nuestras funciones legítimas de consultoría, la atención de las consultas y observaciones que usted nos remita por el presente web site y otras labores de promoción de nuestros servicios. DeSa Consultores S.L garantiza al titular de los datos el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos que le conciernen, debiendo, para ello, dirigirse mediante comunicación escrita a la siguiente dirección: – Desa Consultores, S.L.U- C/ Pere Morell 16, 46.600 Alzira (Valencia). El titular de los datos resulta informado y consiente en la comunicación y tratamiento de sus datos personales bajo las debidas condiciones de seguridad y secreto profesional, por el período que resulte necesario para la finalidad para la que son recabados, tratados y cedidos.