Seguridad de la Información y Protección de Datos
La información es un activo valioso para cualquier organización: un aspecto clave que debe ser gestionado adecuadamente para mantener confianza en la toma de decisiones y en la operación de los procesos. Confidencialidad, integridad, autenticidad y disponibilidad son algunos aspectos fundamentales de la seguridad de la información.
Actualmente, ISO 27001 es la norma más importante y extendida en cuanto a Sistemas de Gestión de Seguridad de la Información. Estos sistemas se configuran como herramientas para asegurar de un modo eficaz los datos, priorizando la seguridad en las prácticas de trabajo y minimizando el riesgo de accesos no autorizados a la información.
¿QUÉ ES LA PROTECCIÓN DE DATOS PERSONALES?
La protección de datos personales es una práctica motivada por una obligación legal a todo tipo de organizaciones (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) y que tiene como objetivo salvaguardar el contenido de la información sobre las personas y preservar su privacidad, honor e intimidad.
Los requisitos legales relacionados con la protección de datos personales son el motor de una serie de acciones y medidas de protección por parte de las organizaciones que manejan los datos, con el fin de evitar consecuencias negativas para las personas de las cuales se trata información.
La LOPD (así como los reglamentos y otras disposiciones legales que la desarrollan) afectan tanto al personal de la entidad con acceso a datos de carácter personal, como a los sistemas de información o soportes que los almacenen y a aquellos de los que sean encargados de tratamiento e implica obligaciones como:
-
Inscripción de dichos ficheros en la Agencia Española de Protección de Datos.
-
La adopción de ciertas medidas de índole técnica y organizativa, que se reflejarán en el Documento de Seguridad con definición de las medidas, normas, procedimientos, reglas y estándares internos de seguridad.
-
Auditoría de los ficheros y sistemas que contengan datos de carácter personal más sensibles (nivel medio y alto)
-
Difundir las obligaciones adoptadas por los responsables de ficheros que contengan datos de carácter personal.
Las actuaciones contrarias a la LOPD y demás disposiciones legales vigentes en materia de seguridad de datos de carácter personal podrían dar lugar a severas sanciones pecuniarias para los responsables de los ficheros que van desde los 900 a los 600.000 euros, de ahí la importancia de establecer un plan de adaptación de nuestros ficheros a la normativa.
Infracciones leves (De 900€ a 40.00€)
-
No atender a una solicitud de ejercicio de derechos ACRO (motivo formal)
-
No inscribir los ficheros en la AEPD
-
Realizar una recopilación de datos sin proporcionar información a los afectados
Infracciones graves (De 40.001€ a 300.000€)
-
Realizar una recopilación de datos con una finalidad diferente a la legítima
-
Mantener datos inexactos y no realizar rectificaciones
-
No aplicar las medidas de seguridad obligatorias por ley
Infracciones muy graves (De 300.00,01€ a 600.000€)
-
Comunicación o cesión de datos fuera de los supuestos permitidos
-
Transferencia internacional de datos con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AEPD
-
Recabar datos especialmente protegidos sin consentimiento expreso del afectado
¿Es tu primer contacto con LOPD y quieres saber de forma rápida y sencilla cual es el grado de cumplimiento de tu empresa u organización? Desde TRACK te ofrecemos la posibilidad de una evaluación inicial de los aspectos fundamentales de la LOPD de forma totalmente gratuita con el fin de que te hagas una idea rápida sobre tu cumplimiento y orientación sobre los aspectos sobre los que debes trabajar.
La auditoría de protección de datos consiste en un proceso de revisión con el fin de evaluar el cumplimiento de las medidas de protección establecidas. La auditoría es obligatoria para todos titulares de ficheros que tengan carácter medio y alto. Deben realizarse al menos cada 2 años, y de forma extraordinaria cuando se hayan producido cambios estructurales u organizativos relevantes que pudieran afectar a la protección de los datos.
Las auditorías pueden ser realizadas de forma interna o externa, el único requisito a nivel técnico es que la auditoría incluya:
-
Una comprobación las medidas de seguridad exigidas reglamentariamente.
-
La identificación de las deficiencias detectadas y una propuesta de las medidas correctoras o complementarias necesarias.
-
Los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
El informe de auditoría debe conservarse y mantenerse a disposición de la Agencia Española de Protección de Datos.
En TRACK ponemos a tu disposición a profesionales cualificados que te permitirán confiar en que las prácticas y medidas adoptadas en tu organización cumplen con la LOPD. Solicítenos presupuesto sin compromiso.
No realizar auditorías de protección de datos personales, en los supuestos en los que sea obligatorio, podría suponer una infracción grave con una multa entre 40.001 y 300.000€.