Servicios de protección de datos en Madrid

¿QUÉ MEDIDAS DE SEGURIDAD DEBO ADOPTAR EN MI EMPRESA SEGÚN LAS NORMATIVAS DE PROTECCIÓN DE DATOS?

PROCEDIMIENTOS DE SEGURIDAD

El tratamiento de datos personales está sometido a una serie de amenazas que pueden a afectar a los derechos y libertades de las personas. Por este motivo, las normativas que regulan la protección de los datos personales exigen que las empresas y organizaciones que realicen tratamientos sobre los mismos establezcan medidas de seguridad.

La Ley Orgánica de Protección de Datos (LOPD) aprobada en el año 1999 y que ha sido derogada en el año 2018, planteaba una serie de medidas de seguridad que estaban recogidas en su Reglamento de Desarrollo del RD 1720/2007. Se establecían 3 categorías de ficheros, de nivel básico, medio o alto, en función de la naturaleza de los datos que eran tratados y de su finalidad. A cada categoría de ficheros, le correspondía un nivel de seguridad, con medidas de carácter básico, medio y alto que deberían ser implementadas en la organización con carácter acumulativo, es decir a los ficheros de nivel de seguridad alto y medio, también les eran aplicables las de rango inferior.

Las normativas vigentes de protección de datos, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD), no imponen medidas de seguridad concretas, sino que cada organización deberá implementar aquellas que sean necesarias para garantizar la integridad, confidencialidad, disponibilidad y resiliencia de los datos. Por tanto, será necesario realizar un análisis sobre los riesgos asociados al tratamiento de los datos, contemplando la probabilidad de ocurrencia y el impacto sobre los derechos y libertades de las personas.

Para que en nuestra empresa se protejan los datos personales de forma adecuada, debemos tener en cuenta dos aspectos fundamentales:

1. Concienciar al personal que trata los datos, invocando una cultura de protección de datos.
2. Adoptar las medidas de seguridad que se necesiten implantar para proteger la información.

Si queremos proteger la información de nuestra organización debemos preocuparnos por quiénes la utilizan. Los empleados son los principales actores en el tratamiento de la información, e intervienen en el llamado ciclo de vida los datos, desde la entrada (obtención de los datos), clasificación (para qué se han recogido), registro (cómo damos de alta la información y qué herramientas utilizamos), almacenamiento (conservación y forma de organizar la información), y acceso por parte de los usuarios (consultar, modificar y eliminar). Los empleados son una parte esencial en el tratamiento de los datos y, por tanto, una fuente de vulnerabilidades. De hecho, se considera que, “el usuario de datos es el eslabón más débil de la cadena de seguridad”.

Para conseguir la concienciación se necesita formar a los usuarios en el tratamiento de datos en su puesto de trabajo, realizar acciones informativas periódicas sobre la evolución de las distintas amenazas y riesgos que pueden ir variando en el tiempo, así como las precauciones que se deben seguir para ayudar a minimizar la probabilidad y el impacto de las mismas sobre la información de la empresa.

El art. 24 RGPD señala que las entidades que realizan tratamientos de datos personales deben establecer medidas técnicas y organizativas para garantizar y demostrar que lo hacen cumpliendo el Reglamento. La demostración implica una responsabilidad proactiva, o accountability usando el vocablo anglosajón, por parte de los Responsables debiendo generarse evidencias suficientes que la prueben. Este mismo artículo recoge que deben aplicarse políticas de protección de datos.

Por ello, se deben redactar Políticas de Seguridad, que es un documento que tiene como objetivo establecer los procedimientos a seguir para que el tratamiento de datos se realice de manera segura, debiéndose determinar su alcance, es decir sobre qué tratamientos de datos se pretenden aplicar las medidas de seguridad. La obligatoriedad de elaborarlas queda reflejada en el art. 24 del RGPD sobre la Responsabilidad del responsable del tratamiento, que señala que el Responsable deberá aplicar las medidas técnicas y organizativas apropiadas entre las cuáles se incluirán las políticas de protección de datos.

Para determinar el alcance, de debe elaborar un Registro de Actividades de Tratamiento, según lo señalado en el art. 30 RGPD.

La Política de Seguridad estará formada por otras políticas específicas que agrupen ordenadamente los diferentes recursos y elementos que forme el sistema de información de la empresa, por ejemplo, política de utilización de internet, del correo electrónico, sobre la utilización de contraseñas, … Una de estas políticas debe elaborarse para que los usuarios de la empresa conozcan cómo deben tratar los datos y qué protocolos deben seguir. La política de seguridad de los usuarios estará accesible a todos ellos, tanto internos como externos, y debe estar redactada de manera que les resulte comprensible, evitando el uso de tecnicismos.

Es importante mencionar el art. 25 del RGPD sobre la protección de datos desde el diseño y por defecto que establece que las medidas de seguridad se deben prever antes de que comience a realizarse el tratamiento de los datos, y también con carácter previo a la implementación de un nuevo servicio o de una nueva operación de tratamiento.

Para coordinar todas estas tareas se debe nombrar, al menos un responsable de protección de datos, sin perjuicio de que entidades de mayor tamaño o del sector público se nombren otras figuras con funciones más específicas, tales como:

1. Responsable de la información. Es el encargado de determinar la importancia de la información que se trata en la organización, graduando su valoración para que posteriormente se establezcan las medidas que corresponda. Debería ser un alto cargo o directivo, en el caso de un Ayuntamiento, podría ser el Secretario.
2. Responsable de servicios. Su misión es la de valorar la importancia de los servicios para el normal funcionamiento de la organización. También debería ser un alto cargo o directivo, o también, el secretario en un Ayuntamiento. El responsable de la información y el de servicios podría ser la misma persona.
3. Responsable de seguridad. Su labor es de gerencia, las valoraciones de la información y de servicios deben ser recogidas por el responsable de seguridad que debe determinar qué medidas de seguridad se deben implementar, además es el encargado de redactar la política de seguridad que debe aprobar la dirección.
4. Responsable de sistemas. Es el responsable de la informática que implementa las medidas de seguridad, por tanto, tiene una labor ejecutiva.
5. Delegado de Protección de Datos. Debe ser nombrado cuando se realicen tratamientos a gran escala y sobre datos sensibles o de personas en situación de vulnerabilidad, en los en los casos establecidos en el art. 35 del RGPD y en el 34 de la LOPD-GDD. Entre sus funciones se encuentran la de informar y asesorar a la empresa y a los usuarios de la información, así como supervisar que se cumpla el Reglamento General de Protección de Datos.

Con el objeto de que su organización pueda implementar las medidas de seguridad que necesite, se proponen un conjunto de PROCEDIMIENTOS DE SEGURIDAD específicos que se pueden utilizarse para configurar una Política de Seguridad personaliza. Como se ha dicho en párrafos anteriores, cada entidad deberá considerar las medidas que necesite según el riesgo que suponga el tratamiento de los datos, luego en determinadas organizaciones habrá que establecer procedimientos más restrictivos con mayores medidas de seguridad, y en cambio en otras, serán más laxos necesitando una menor dotación de recursos de protección.

Pulse en el enlace para ver el contenido de los procedimientos:

Procedimientos de Seguridad. Introducción

1. Procedimientos de gestión de usuarios y control de acceso.
2. Procedimientos de gestión de contraseñas.
3. Procedimientos de gestión de soportes.
4. Procedimientos de seguridad en locales, departamentos y dispositivos físicos.
5. Procedimientos de ficheros temporales y copias de trabajo de documentos.
6. Procedimientos de gestión de telecomunicaciones.
7. Procedimientos de trabajo fuera de los locales.
8. Procedimientos de protección en equipos, redes y aplicaciones informáticas.
9. Procedimientos de gestión de copias de seguridad.
10. Procedimientos de gestión de incidencias.