¿En tu empresa tratáis datos personales?
Toda empresa que realice un tratamiento de datos personales, por pocos que sean, está obligada a cumplir las normativas de protección de datos y privacidad. Para ello es imprescindible comenzar realizando un proceso de adecuación de protección de datos.
¿En qué consiste una adecuación de protección de datos?
¿Qué es una adecuación de protección de datos?
La adecuación de protección de datos es el proceso mediante el cuál un experto en protección de datos analizará los datos que se tratan en tu empresa, y cómo se trabaja con ellos, para que todo se haga cumpliendo con las normativas vigentes en materia de protección de datos y privacidad.
¿En qué consiste una adecuación?
El proceso de adecuación implica evaluar los procesos y procedimientos de la empresa en relación con el tratamiento de datos personales y definir los procedimientos, protocolos y políticas correspondientes para garantizar que se cumplan los requisitos de protección de datos y privacidad.
Objetivos de la adecuación de protección de datos
Las empresas deben tomar medidas para proteger los datos personales que procesan y tratarlos de acuerdo con los principios de privacidad establecidos en las leyes aplicables, como el Reglamento General de Protección de Datos (RGPD) en la Unión Europea o la Ley Orgánica de Protección de Datos Personales en España.
- Conocer qué datos estamos tratando y qué hacemos con ellos
- Revisar que los datos se tratan con la debida seguridad
- Asegurarnos de que existen contratos de confidencialidad
- Definir protocolos y procedimientos internos
- Revisar que nuestra web o tienda virtual está adaptada
- Asegurarnos de que nuestros proveedores son de confianza
Es el primer paso para cumplir con las normas e imprescindible para asegurarnos que tratamos los datos de nuestros clientes adecuadamente y evitar importantes sanciones económicas por parte de las autoridades.
Medidas de una adecuación
Análisis del ciclo de vida del dato: desde su recogida hasta su destrucción
Revisión y/o creación de las políticas y procedimientos relacionados con el tratamiento de datos
Identificación de los riesgos y vulnerabilidades asociados con el tratamiento de datos personales (incluida ciberseguridad)
Implementación de medidas de seguridad y controles adecuados para proteger los datos personales
Formación del personal en las políticas y procedimientos de privacidad de datos de la empresa
Asesoramiento por parte de un especialista en protección de datos
Fases de la adecuación de protección de datos
0
Evaluación de situación inicial
Uno de nuestros consultores se pondrá en contacto contigo para conocer un poco la actividad de tu empresa y hacer una primera evaluación de las necesidades de tu empresa. Para poder ofrecerte el servicio más adecuado a tu empresa, es importante conocer, por ejemplo, el sector en el que se mueve para hacernos una idea de los datos que puede manejar, si tiene página web o tienda virtual, la cantidad de empleados/colaboradores que tiene o si disponéis de cámaras de videovigilancia.
1
Análisis del ciclo de vida del dato
Una vez conozcamos un poco tu empresa, comenzamos definiendo los tratamientos que lleváis a cabo y de qué manera. Ese análisis comienza desde qué datos recogemos, por qué y cómo lo hacemos, dónde y cómo los almacenamos, qué usos hacemos de ellos, cómo los almacenamos y, por último, cómo y cuándo los destruimos.
Todo lo anterior nos permitirá elaborar un documento llamado Registro de Actividades de Tratamiento (RAT), cuya finalidad es tener una relación de todos los datos que tratamos, para poder consultarlo en cualquier momento y conocer cómo tenemos los datos estructurados de un vistazo. Es muy importante que se actualice constantemente, ya que es la piedra angular de la privacidad de nuestra empresa.
2
Auditoría de riesgos: medidas de seguridad y ciberseguridad e implementación de las medidas correctivas correspondientes
En esta fase ya tendríamos el RAT perfectamente definido, lo que significa que ya tenemos una visión completa de los datos que tratais.
El siguiente paso es valorar si los datos se están tratando con las medidas de seguridad de acuerdo con los riesgos que puedan entrañar para la privacidad de nuestros clientes o usuarios. A modo de ejemplo, no es lo mismo el nivel de seguridad que necesitamos si nuestro negocio es un bar o una peluquería, donde habitualmente sólo tratamos nombre, apellidos y teléfonos para citas o reservas, que si nuestra empresa es una asesoría o una correduría de seguros donde manejamos datos sensibles, copias de DNI, números de cuenta, etc.
Para poder identificar los riesgos, debemos primero identificar e inventariar todos los recursos que emplea la empresa para el tratamiento de los datos en su día a día. Debemos elaborar una relación de todos los equipos que dispone la empresa e intervienen en sus procesos con datos, o incluso si se utilizan dispositivos personales de los propios empleados. Pueden intervenir, entre otros, dispositivos electrónicos como ordenadores de sobremesa, portátiles, pendrive o servidores para alojar la web o gestionar el correo electrónico. Tampoco debemos olvidar el software que empleamos para gestionar la información, ni los espacios donde se almacena la documentación en formato papel.
Si en algún momento del proceso de adecuación es importante contar con auténticos expertos en protección de datos, es en esta fase.
3
Elaboración de la documentación: cláusulas, políticas, informes y protocolos
Con toda la información que hayamos recopilado en las fases anteriores, ya dispondremos de información suficiente para elaborar toda la documentación que incluye, entre otros:
- Cláusulas informativas para incluir en los documentos de recogida de datos (incluidos carteles de videovigilancia).
- Contratos de confidencialidad con empleados, colaboradores y proveedores.
- Contratos con Encargados de Tratamiento.
- Política de Seguridad.
- Política de Desconexión Digital.
- Política de protección de datos por diseño y por defecto.
- Política de uso de dispositivos empresariales y/o personales por parte de los empleados.
- Registros de Actividades de Tratamiento como Responsables y como Encargados de tratamiento.
- Informe de estructura técnica y organizativa.
- Informe de análisis de riesgos.
- Informe de medidas técnicas y organizativas y certificado de cumplimiento para presentar ante terceros.
- Protocolo de actuación, y modelos, para el ejercicio de los derechos del interesado.
4
Formación al empresario y a los empleados
En este momento, nuestra empresa ya estaría adaptada a la normativa de protección de datos, pero de poco sirve que hayamos diseñado un sistema de gestión de la privacidad si las personas que van a intervenir en el tratamiento de los datos no conocen los procedimientos y políticas que hemos establecido. Para ello, en función del tamaño y sector de la empresa, organizaremos sesiones de formación presenciales u online o el envío de píldoras formativas periódicamente.
5
Asesoramiento y mantenimiento
Una vez hayamos finalizado el proceso de adecuación de protección de datos, tocaría el mantenimiento. Nuestro equipo te acompañará y te ayudará a:
- Mantener todo el sistema actualizado a los cambios que se realicen en tu empresa.
- Resolver cualquier duda que te pueda surgir en relación a los tratamientos que vengas realizando o sobre la posibilidad de realizar nuevos.
- Apoyarte en la atención del ejercicio de los derechos de los interesados.
