Políticas de protección de datos

De notas.romsolutions.es
Ir a la navegación Ir a la búsqueda

Seguidamente os mostramos una tabla con los diferentes niveles de seguridad según los diferentes datos que queramos proteger.

Lopd.png

Políticas de protección de datos

Además de estas medidas de seguridad a nivel intermedio el administrador ha de elaborar un catálogo, sobre las medidas de seguridad genéricas que se han de llevar a cabo e implantar mecanismos de autentificación remota seguros. Estas medidas se han de someter mínimo cada dos años a una auditoría externa que certifique la eficacia de las medidas de seguridad.

En el nivel alto para proteger ficheros hace falta el uso de métodos criptográficos  para evitar que los datos sensibles sean legibles mientras circulan por la red.

Un pequeño ejercicio resuelto.

Una librería nos manda que gestionemos la base de datos de sus clientes. Des del punto de vista de la LOPDP, ¿que pasos tendremos que seguir para garantizar la seguridad de sus datos?

Suponemos que la librería ya esta funcionando pero que no se ha hacho la inscripción del fichero a la agencia Española de protección de datos y que por tanto, es como si tuviésemos que comenzar el proceso desde el principio.

Tratamiento inicial

 

  1. Definición y establecimiento del fichero
    • Dependiendo del tipos de datos tendremos que aplicar el nivel básico, intermedio o alto.
  1. Inscribir el fichero en la Agencia Española de Protección de Datos o a la Agencia Autonómica de Protección de Datos.
  2. Redacción del documento de Seguridad
  • Una vez recibida la confirmación el responsable del fichero habrá de elaborar un documento que establece las medidas de seguridad que se han de aplicar a los datos y a los sistemas de información. Es obligatorio cumplir por todas las personas que tengan acceso a los ficheros de datos.
  1. La calidad de los da tos.
    • Los datos se han de adecuar a la finalidad para la cual fueron pedidos.
    • Han de ser exactos y actualizados.
    • No se han de mantener indefinidamente sin justificación.
    • Han de estar recogidos de una manera lícita.
  1. El derecho a la información en la recogida de datos.
    Se informará a la persona interesada de una manera previa, expresa, precisa y inequívoca:
  • De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los datos y de los destinatarios de la información.
  • Del carácter obligatorio o facultativo de su propuesta a las preguntas que le sean planteadas.
  • De las consecuencias de la obtención de los datos o de la negativa a subministrarlos.

 

Mantenimiento

 

  1. Copias de Seguridad y recuperación de datos.
  • El responsable del fichero (RF) se encarga de verificar, con la colaboración del responsable de seguridad (RS), la aplicación correcta de los procedimientos utilizados para la realización de las copias de seguridad y recuperación de datos.
  • Los procedimientos han de garantizar, en la medida de lo posible, la reconstrucción de los datos en el estado en el cuál se encontraban antes del momento de la pérdida.
  • Cuando un proceso de recuperación de datos afecte a fichero de nivel intermedio, será necesaria la autorización del RF para la ejecución de la recuperación.
  • Las copias de seguridad se han de hacer sobre un soporte extraíble y con periodicidad semanal (como mínimo). Este término únicamente podría ser ampliado en caso que en este período de tiempo no se hubiese producido ninguna actualización o modificación de los datos.
  • Se han de hacer copias de seguridad adicionales previamente a la realización de cualquier intervención técnica en los recursos informáticos (instalación o actualización de aplicaciones, instalación o substitución de máquinas, reparaciones,...)
  • Verificación.
  • Todo los programas o aplicación utilizada para el tratamiento de los datos personales tendrá que tener la función de realización de copias de seguridad, o bien permitir la realización de copias de seguridad de manera que garantice la recuperación de los datos.
  • Todo procedimiento de recuperación tendrá que ser realizado por personal con los conocimientos técnicos necesarios. En caso que el procedimiento tenga que hacerse con personal externo, el RS habrá de verificar que durante la ejecución se mantenga la confidencialidad más estricta sobre los datos de carácter personal de los ficheros.
  1. Identificación, autenticación y control de accesos
  • El acceso será individual y todo quedará registrado. La implantación de esta regla para por crear un protocolo para el control de acceso, para la asignación de contraseñas y el almacenamiento correspondiente, y también para el registro del uso de lo ficheros y la gestión de sus soportes.
  1. Gestión de soportes
  • Los soportes han de estar claramente identificados con una etiqueta externa, que indique el tipo de información que contienen, y también la fecha de la creación.
  • El soporte se ha de almacenar bajo llave y se ha de restringir la utilización únicamente a las personas con acceso autorizado a los ficheros.
  • La salida de soportes fuera de los locales se han de autorizar mediante la firma del RF y del RS.
  • Se ha de hacer un inventario de soportes que ha de contener la información relativa a cada soporte inventariado: tipos de soporte, fecha de creación, información que contiene y lugar donde se almacena.

Derechos ARCO

 

  • Acceso: El ciudadano puede solicitar información sobre sus datos almacenados al responsable del fichero y obtener la información siguiente:
      • Información sobre si sus datos son objeto de tratamiento.
      • Finalidad del tratamiento que se esta llevando a cabo.
      • Información sobre el origen de los datos y las cesiones hechas o previstas.
  • Rectificación: Si los datos del ciudadano son inexactos, incompletos, inadecuados o excesivos, se puede exigir la modificación para reflejar su situación real.
  • Cancelación: El ciudadano puede exigir al responsable del fichero la supresión de algunos datos que pueden ser inadecuados o excesivos.
  • Oposición: El derecho del ciudadano a negarse a que sus datos personales sean objeto de tratamiento en los casos que:
    • Que los ficheros tengan por finalidad la realización de actividades de publicidad y proyección comercial.
    • Con tratamientos automatizados basados en los datos personales.