Cuidamos lo más delicado
Adaptación a la LOPD
1. ANTECEDENTES
La Ley Orgánica de Protección de Datos de Carácter Personal, LOPD 15/1999, entró en vigor el 1 de Enero del 2000, derogando a la Ley anterior (LORTAD 5/1992). El plazo legal para que las empresas se adecuen a dicha Ley expiró el 1 de enero de 2003.
El objeto de esta Ley Orgánica consiste en garantizar y proteger, en lo referente a los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.
Los datos de carácter personal se clasifican en 3 niveles, alto, medio y básico, atendiendo a la mayor o menor necesidad de garantizar la confidencialidad de la información:
Nivel alto: datos relativos a ideología, afiliación sindical, religión, creencias, origen racial o étnico, vida sexual y salud.
Nivel medio: datos relativos a la comisión de
infracciones administrativas o penales, Hacienda
Pública, servicios financieros y patrimonio.
Nivel básico: datos relativos a nombre y apellidos, DNI, domicilio y teléfono, además de los datos que no sean de nivel medio ni alto.
Esta Ley afecta y es de obligado cumplimiento para todas las empresas, profesionales, instituciones y colectivos que manejen o almacenen datos de carácter personal. Las obligaciones de los afectados por esta Ley consisten en declarar sus bases de datos de carácter personal en la Agencia de Protección de Datos y nombrar un representante de seguridad dentro de la empresa que será el encargado del tratamiento. Asimismo, las empresas deberán garantizar que sólo se produce acceso a estos datos por personal debidamente autorizado.
Las sanciones previstas segun el tipo de infracción cometida son:
Infracciones leves: de 600 € a 60.000 €
Infracciones graves: de 60.000 € a 300.500 €
Infracciones muy graves: de 300.500 € a 600.000 €
2. FASES DE ACTUACION
Análisis, legalización y legitimación
Elaboración de la normativa de seguridad
Analisis, legalización y legitimación
Recopilación de información: personal especializado de PROTECTUUM procederá a recopilar la información necesaria para realizar la toma de datos inicial sobre los soportes de obtención de datos personales, ya sean éstos informáticos o no.
Diagnosis de la situación de la compañía: Se analiza la información recabada y se determinan las áreas de riesgo, identificando anomalías. Análisis detallado de la situación del sistema
informático, incluyendo un análisis de seguridad de accesos.
Legalización y notificación de ficheros: inscripción de los ficheros localizados en la Agencia de Protección de Datos. En el supuesto de que la empresa hubiese realizado esta gestión con anterioridad, procederemos al análisis de la documentación con el fin de determinar su corrección o, si procede, realizar las actuaciones con el fin de adecuar los ficheros según la normativa vigente.
Elaboración de la normativa de seguridad
Documento de seguridad: consiste en la redacción de las medidas de seguridad de índole técnica y organizativa que contempla el Reglamento. Se definirán aquí, el objeto del documento, ámbito de aplicación, recursos protegidos, funciones y obligaciones del personal responsabilidades, normas y procedimientos de seguridad, gestión de incidencias, gestión de soportes, procedimientos de copia de seguridad y recuperación, etc.
Elaboración documentos de confidencialidad: el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. Por ello PROTECTUUM redactará el documento de confidencialidad que, obligatoriamente, deberá ser firmado por todo el personal de la empresa.
Elaboración de documentos por cuenta de terceros: La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato escrito que acredite su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento, únicamente tratará los datos conforme a las instrucciones del responsable del fichero, y que no los aplicará o utilizará con fin distinto al que figure en dicho contrato. En el caso de que la finalidad sea distinta a la que figura en el contrato, el responsable del tratamiento responderá de las infracciones personalmente.
Clausulas legales
Se elaborarán unas cláusulas legales, utilizadas como notas de advertencia, que deberán ir a pie de página de cualquier documento dirigido a recabar datos personales, compilarlos, comunicarlos u otros usos, así como en todos los comunicados convencionales o electrónicos que efectúe la empresa.
Protocolo de procedimiento
Elaboración de un protocolo que establezca de forma clara y resumida las normas básicas para los usuarios, para que el sistema de seguridad sea viable y funcional. Este documento deberá ser firmado a la recepción, por parte de los usuarios, del mismo.
Cursos de sensibilización
Si el cliente está interesado y/o se detecta la necesidad de información por parte de los miembros de la entidad, se harán cortas sesiones de sensibilización en la conveniencia de un control de la seguridad de los datos personales.
Los cursos van dirigidos, principalmente, a todo el personal implicado en la gestión de datos personales de la empresa.
Asesoría y asistencia jurídica
Se establece por la duración del contrato asesoría jurídica, por si hubiese que actualizar ficheros que hayan sufrido alguna modificación. Garantizamos nuestra asistencia en posibles inspecciones de la Agencia de Protección de Datos.
Auditoría de protección de datos
Para poder verificar la correcta aplicación de los establecido en el documento de Seguridad, independientemente del nivel de seguridad otorgado, se efectuará una auditoría para poder certificar la correlación entre los niveles de seguridad y la realidad de la empresa. Emitiremos un informe dónde redactaremos las desviaciones y sus medidas correctoras.
Según el Reglamento es obligatoria para aquellas personas que tengan datos de carácter personal de nivel medio y alto.