HomeProceso implementación protección de datos

Proceso implementación protección de datos

La protección de datos personales es una normativa obligatoria para todas las empresas y un derecho fundamental de todos los ciudadanos. El proceso de implementación protección de datos en su empresa consta de varias fases con el objetivo de poder demostrar el debido cumplimiento de esta nueva normativa y aplicar las medidas de seguridad necesarias, de lo contrario podrían ser sancionadas con multas entre 900 y 600.000 euros por su incumplimiento.

Fase 1: Evaluación

En un primer lugar, IBERDATOS se encargará de realizar un análisis que ayude a determinar el estado de cumplimiento, y las deficiencias en cuanto a la aplicación de los nuevos aspectos de la ley, de este modo identificaremos la brecha existente con relación a la normativa de protección de datos. Este análisis es el punto de partida y será uno de los indicadores de evolución de la implantación.

Fase 2: Plan
  • Registro de actividades de tratamiento: IBERDATOS establecerá y documentará un registro de operaciones de tratamiento en el que se contenga la información que establece el Reglamento.
  • Estudio de la base de legitimación de los tratamientos: Todo tratamiento de datos necesita una legitimación. Luego de haber hecho el primer análisis, IBERDATOS realizará un segundo análisis, esta vez será de la base jurídica que legitime el tratamiento de los datos, ya sean obligaciones legales, relaciones contractuales, interés público, interés legítimo del responsable o encargado, protección de intereses vitales y/o consentimiento.
  • Cumplimiento del deber de informar mediante la elaboración de las clausulas legales: IBERDATOS se encargará de revisar todas las clausulas legales de la empresa u organización en materia de protección de datos, de esta manera encontrará los métodos mas adecuados para dar cumplimiento a las circunstancias y condiciones de tratamiento de datos que se efectuará, así como los derechos que asisten a los afectados. Se analizarán por todos los medios posibles (papel o formato electrónico, web o cualquier otro), ejerciendo las mejores practicas para que se pueda demostrar la responsabilidad activa de la empresa u organización.
  • Procedimientos para el ejercicio de los derechos: El RGPD contiene los derechos tradicionales: Acceso, Rectificación, Cancelación y Oposición (ARCO), también incluye algunos nuevos derechos como la limitación del tratamiento o la portabilidad, y establece condiciones concretas acerca de el proceso que se debe seguir para atender a los interesados en el ejercicio de sus derechos. IBERDATOS realizará procedimientos que permitirán que los clientes puedan acreditar que han ejercido sus derechos, además los asesorará para que estos den cumplimiento correcto en las formas y plazos establecidos por la ley.
  • Evaluación de la relación con encargados del tratamiento: Está establecido en el RGPD, que el responsable de tratamiento deberá adoptar medidas apropiadas, incluyendo la elección de los encargados. Los responsables deberán elegir a los encargados aptos, que cumplan con los requerimientos y sepan aplicar las medidas técnicas necesarias, de manera que el tratamiento sea conforme con lo establecido en el RGPD. En IBERDATOS nos encargamos de revisar los tratamientos de datos y regular el acceso de los datos llevados a cabo por cuentas de terceros.
  • Análisis de riesgo del RGPD: IBERDATOS establecerá una metodología que se utilizará en los análisis y evaluación de riesgos, sobre los incumplimientos de protección de datos.
  • Selección de objetos de control y controles para el tratamiento: Los responsables y encargados de los tratamientos de datos, determinaran medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad apropiado, dependiendo de los riesgos detectados en el análisis anterior. En estas medidas técnicas y organizativas se determinará:
  • Los costos de las medidas técnicas
  • Los costos de la aplicación
  • La naturaleza, el alcance, el contexto y los fines del tratamiento
  • Los riesgos para los derechos y libertades.

IBERDATOS se encargará de revisar el manual de seguridad que la organización o empresa dispongan, para evaluar la cobertura que se les da a los objetos de control que se hayan determinado en la evaluación de impacto y seguridad, y en el análisis de riesgos.

  • Delegado de protección de datos: El RGPD en algunas ocasiones (dependiendo del tipo de organización o de la circunstancia) exige la presencia de un Delegado de Protección de Datos (DPD). El Delegado debe ser elegido considerando sus cualidades profesionales y conocimientos en el área; la designación y los datos de contacto del mismo, deberán ser públicos y comunicados a las autoridades de supervisión, en este caso a la Agencia Española de Protección de Datos.

IBERDATOS en conjunto con la empresa u organización, se encargará de determinar cuando será conveniente la presencia de la figura del DPD, teniendo en cuenta que este debe cumplir con todos los requisitos establecidos por la normativa. Estos requisitos son:

  • Completa autonomía en el ejercicio de sus funciones
  • Necesidad de relacionarse con el nivel superior de la dirección
  • Que el responsable o el encargado, por carácter obligatorio, faciliten todos los recursos necesarios que el DPD necesite para llevar a cabo su trabajo.
  • Revisión legal de la web: este servicio se relaciona con las labores de consultoría LSSICE, el cual pone su especial atención a todos los aspectos que las empresas deben tener en cuenta para cumplir adecuadamente con la LSSICE, estos aspectos son los siguientes:
  • Identificación
  • Control de contenidos
  • Condiciones de uso
  • Uso de cookies y matetags
  • Toda la información sobre los productos y servicios ofrecidos
  • Publicidad y marketing por medio de correo electrónico
  • Derechos de autor del contenido publicado en la web
  • Propiedad intelectual e industrial de la web

Y para ello se facilitarán los siguientes documentos:

  • Política de privacidad
  • Aviso legal
  • Condiciones de contratación web
  • Política de cookies
  • Informe sobre envío de publicidad por vía electrónica
Fase 3: Implementación.

En esta fase se realiza la implementación, a partir de aquí toda la responsabilidad recaerá en la organización o empresa y en la empresa asesora. Para la implementación se deben seguir los siguientes pasos:

  • Definir un plan de tratamiento de riesgo
  • Implementar el plan del tratamiento del riesgo
  • Implementar los controles seleccionados para alcanzar los objetivos de control
  • Implementar y ejecutar programas de aprendizaje y conocimiento
  • Gestionar operaciones y recursos SGSI
  • Realización de evaluación de impacto en la privacidad y análisis de riesgos (EIPD): en esta parte, los responsables del tratamientos de datos deben realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) que es un proceso de análisis que ayuda a identificar y minimizar los riesgos que las actividades de tratamiento puedan desencadenar. IBERDATOS se encargará de realizar esta evaluación con el fin de evitar o reducir los impactos negativos que pueda generar las actividades de tratamiento de datos personales de la organización.
  • Protección de datos desde el diseño y por defecto: esta es la mejor manera de hacer las cosas, pensando en un sistema de protección de datos desde el momento que se diseña un tratamiento. En IBERDATOS nos encargamos de asesorarlo desde el inicio, para que se apliquen los principios del RGPD en cualquier nuevo proyecto que se lleve a cabo.
Fase 4: Verificación
  • Controles para la adecuación legal: concurrentemente, se realizarán chequeos de los Sistemas de Gestión de la Seguridad de la Información (SGSI) para la correcta actualización de los controles y las posibles deficiencias por parte de los usuarios, responsables o encargados de los tratamientos.
  • Establecer procedimientos de monitorización que ayuden a identificar las debilidades de seguridad
  • Revisión del SGSI (Sistema de Gestión de la Seguridad de la Información)
  • Revisar evaluaciones de riesgos y nivel residual/aceptable: esta revisión es para detectar los cambios producidos externos e internos, más todas aquellas amenazas que puedan afectar el SGSI.
  • Registrar acciones y acontecimientos como mecanismo de control del SGSI, para predecir los puntos donde se producen problemas.
Fase 5: Actuar y mantenimiento
  • Asesorar en la implementación de cualquier mejora identificada:
  • Certificar la adecuación al RGPD: Una vez se haya verificado la correcta adecuación al reglamento, IBERDATOS emitirá un certificado de excelencia en protección de datos. Con este certificado la empresa podrá demostrar a sus clientes su compromiso y responsabilidad hacia la ley.
  • Asesoría jurídica y técnica: mientras el contrato firmado siga vigente, usted como cliente de IBERDATOS podrá realizar cualquier tipo de consulta sobre el servicio o sistema de protección de datos. Además, posee asesoría y defensa jurídica ante inspecciones o cualquier tipo de inconveniente con la Agencia Española de Protección de Datos.