News

Noticias

Guía de implantación de la LOPD

1. OBJETIVOS DEL PROYECTO

Herramientas	LOPD y RLOPD, Normativa sectorial y específica. Resoluciones AEPD y AA autonómicas. Instrucciones y Recomendaciones AEPD. Páginas web AEPD y AA autonómicas. Jurisprudencia / Doctrina. Formularios. Listas de comprobación. Programas de gestión LOPD.
Razones para la adecuación	Obligación Legal. Oportunidad de mejorar la seguridad de la información. Evitar sanciones. Evitar la paralización de la actividad. Mejora de la imagen de la empresa u organización.
Objetivos del proyecto	Conocimiento real de la situación de la empresa u organización con relación al cumplimiento de la normativa de protección de datos de carácter personal. Determinación del ámbito de actuación del proyecto. Actividad, centros de trabajo, departamentos, etc. Determinar el enfoque jurídico, técnico y organizativo. Horizonte temporal para la implantación del proyecto.
Contrato con el consultor	Contenido del servicio. Prestación con acceso a datos. Requisitos artículo 12 LOPD. Regulación artículos 20, 21, 22, 82, 88.5 y 88.6 RLOPD. Duración prestación.
Metodología de trabajo	Planteamiento de las propuestas. Detección de deficiencias y problemas. Valoración de las deficiencias detectada. Estudio de soluciones de conformidad con la normativa de PD. Trabajo en las dependencias del cliente: recogida de datos, reuniones departamentales, con dirección, etc. es un trabajo de campo. Viabilidad de las soluciones propuestas. Ejecución.
Equipo de trabajo	Definir el equipo de trabajo que puede ser interno, externo o mixto, dependiendo de las características de la organización del responsable del fichero o tratamiento.

2. ETAPAS DEL PROYECTO

ANÁLISIS DE INICIO
Recogida de datos y documentación	Inventariar la documentación ordenándola por las tres áreas: jurídica, técnica y organizativa.
Documentación Jurídica	Contratos con clientes Contratos con empleados Colaboradores externos Contratos con proveedores Contratos de encargado de tratamiento Flujo de datos (entre empresas del grupo, terceros, etc.) Recogida de datos personales (cómo se hace, cláusulas, formularios, etc.) Comprobación de procedimientos existentes en materia de PD Derechos ARCO Relaciones con la AEPD o AA autonómicas Páginas web de la entidad
Documentación Técnica	Topografía de red y comunicaciones Inventario de equipos y programas Procedimientos de seguridad
Documentación Organizativa	Centros de trabajo Departamentos Cargos Organigrama
Inventario Informe previo de situación	Inventario de la documentación recogida
Inventario Informe previo de situación	Informe previo de situación
LOCALIZACIÓN Y CLASIFICACIÓN LEGAL DE FICHEROS
Agrupación de ficheros físicos en uno o varios ficheros lógicos	La AEPD considera relevante el fichero global "lógico" que es el que contiene los diferentes ficheros físicos con un mismo tratamiento y finalidad. La decisión de agrupar distintos ficheros físicos en uno lógico, deberá de contemplar el nivel de seguridad que habrá de aplicarse. Puede ser que ficheros físicos que pretenden agruparse en un fichero lógico tengan diferentes niveles de seguridad, en este caso el nivel de seguridad lo determina el fichero físico con el nivel más alto.
Metodología para la localización e identificación de ficheros	Reuniones de trabajo con los responsables de la empresa u organización y entrevistas con los responsables de los diferentes departamentos, comprobando en las dependencias del cliente la realidad de la información recogida.
	Con la información recogida se procederá a efectuar un inventario de ficheros que ha de facilitar su clasificación y agrupación, en el que se consignará: Fichero físico Sistema de información Finalidad Aplicación Departamento Nivel de seguridad, etc.
Legitimación para el tratamiento de datos	Principio de calidad de los datos Finalidad y adecuación del tratamiento Veracidad y exactitud de los datos Licitud y legalidad del tratamiento
	Principio de información. Origen de los datos Datos recogidos directamente del afectado Datos recogidos de persona distinta del interesado Datos obtenidos de fuentes accesibles al público
	Principio de consentimiento Qué tipo de consentimiento se precisa para el concreto tratamiento. Se dispone del consentimiento del interesado Se ha documentado
Problemáticas de las diferentes áreas de una empresa	Personal / Recursos Humanos Procesos de selección de personal Personal de la entidad Curriculums / documentación de candidatos
	Departamento comercial / Marketing Campañas de publicidad Prospección comercial Origen de los datos objetivo de las campañas
	Administración Clientes Proveedores Personas de contacto
INFORME DE SITUACIÓN Y DOCUMENTO DE SEGURIDAD
Informe de situación	No es preceptivo pero sí útil a la hora de plasmar en un documento cuál es la situación y grado de cumplimiento a la LOPD y el RLOPD de la entidad. Informe de situación y compendio resumido de los aspectos jurídicos, técnicos y organizativos de la entidad con relación al cumplimiento de la normativa de protección de datos personales.
Documento de Seguridad	Es una obligación legal (art. 88 del RLOPD) tiene carácter de documento interno de la organización, no ha de notificarse su creación a la AEPD, simplemente el responsable del fichero ha de haberlo elaborado e implantado y tenerlo a disposición de la AEPD si es requerido a tal efecto. Puede ser un único documento o varios (art. 88.2 RLOPD) (Ver Documento de Seguridad / Medidas de seguridad)
NOTIFICACIÓN E INSCRIPCIÓN DE FICHEROS
Notificación e inscripción	La notificación de ficheros se realiza mediante el sistema NOTA, disponible en la página web de la AEPD, que pone a disposición dos modalidades de formulario: el normal o el predeterminado. Las notificaciones de ficheros al RGPD son de tres clases: de creación, de modificación o de supresión de ficheros. Cumplimentado el formulario puede enviarse en papel, por Internet y por Internet firmado digitalmente.
ENTREGA Y FORMACIÓN
Entrega documentación	Documento de seguridad Informe de situación Notificaciones AEPD Contratos con encargados de tratamiento Cláusulas informativas Documentos y contratos revisados Recepción del informe de situación Recepción del documento de seguridad Recepción del proyecto de adecuación
Formación	Objetivos: Trasladar al personal del responsable los conocimientos básicos del derecho fundamental a la protección de datos. Explicar los diferentes procedimientos establecidos en la entidad a los efectos de cumplir con la normativa, por ejemplo la atención de los derechos ARCO. Concienciar al personal sobre su obligación de confidencialidad y secreto. Que conozcan las consecuencias en el ámbito laboral, civil y penal del incumplimiento del deber de secreto y confidencialidad.
Implantación de las medidas de Seguridad	La responsabilidad de la implantación de las medidas técnicas y organizativas recogidas en el documento de seguridad corresponde al responsable del fichero.
Revisiones periódicas	La adecuación a la normativa de protección de datos personales debe plantearse como un proceso con continuidad en el tiempo. No solamente en los casos en que han de aplicarse medidas de seguridad de nivel medio y alto, como las auditorías, sino que es recomendable plantear un calendario de revisiones periódicas —controles periódicos del cumplimiento— en las que se compruebe la efectiva implantación de las medidas técnicas y organizativas, así como detectar disfunciones o nuevas necesidades en el tratamiento de datos.

Fuente: Prontuario Protección de Datos CISS

A continuación exponemos algunas de las principales links a webs publicas sobre noticias del tema de Protección de Datos (Asegur.Dàt, no se responsabiliza de los cambios de link, ni de los contenidos de estas web)

Agencia Española de Protección de Datos (castellano)

Agencia de Protección de Datos de la Comunidad de Madrid

Agencia Catalana de Protección de Datos (català)

Agencia Vasca de Protección de Datos (euskera)

Ir a otra noticia