¿En tu empresa tratáis datos personales?

Toda empresa que realice un tratamiento de datos personales, por pocos que sean, está obligada a cumplir las normativas de protección de datos y privacidad. Para ello es imprescindible comenzar realizando un proceso de adecuación protección de datos.

¿En qué consiste una adecuación protección de datos?

¿Qué es una adecuación de protección de datos?

La adecuación de protección de datos es el proceso mediante el cuál un experto en protección de datos analizará los datos que se tratan en tu empresa, y cómo se trabaja con ellos, para que todo se haga cumpliendo con las normativas vigentes en materia de protección de datos y privacidad.

¿En qué consiste una adecuación?

El proceso de adecuación implica evaluar los procesos y procedimientos de la empresa en relación con el tratamiento de datos personales y definir los procedimientos, protocolos y políticas correspondientes para garantizar que se cumplan los requisitos de protección de datos y privacidad.

Objetivos de la adecuación de protección de datos

Las empresas deben tomar medidas para proteger los datos personales que procesan y tratarlos de acuerdo con los principios de privacidad establecidos en las leyes aplicables, como el Reglamento General de Protección de Datos (RGPD) en la Unión Europea o la Ley Orgánica de Protección de Datos Personales en España.

Es el primer paso para cumplir con las normas e imprescindible para asegurarnos que tratamos los datos de nuestros clientes adecuadamente y evitar importantes sanciones económicas por parte de las autoridades.

Medidas de una adecuación protección datos

Análisis del ciclo de vida del dato: desde su recogida hasta su destrucción

Revisión y/o creación de las políticas y procedimientos relacionados con el tratamiento de datos

Identificación de los riesgos y vulnerabilidades asociados con el tratamiento de datos personales (incluida ciberseguridad)

Implementación de medidas de seguridad y controles adecuados para proteger los datos personales

Formación del personal en las políticas y procedimientos de privacidad de datos de la empresa

Asesoramiento por parte de un especialista en protección de datos

Fases de la adecuación protección de datos

Fase

0

Evaluación de situación inicial

Uno de nuestros consultores se pondrá en contacto contigo para conocer un poco la actividad de tu empresa y hacer una primera evaluación de las necesidades de tu empresa. Para poder ofrecerte el servicio más adecuado a tu empresa, es importante conocer, por ejemplo, el sector en el que se mueve para hacernos una idea de los datos que puede manejar, si tiene página web o tienda virtual, la cantidad de empleados/colaboradores que tiene o si disponéis de cámaras de videovigilancia.

Fase

1

Análisis del ciclo de vida del dato

Una vez conozcamos un poco tu empresa, comenzamos definiendo los tratamientos que lleváis a cabo y de qué manera. Ese análisis comienza desde qué datos recogemos, por qué y cómo lo hacemos, dónde y cómo los almacenamos, qué usos hacemos de ellos, cómo los almacenamos y, por último, cómo y cuándo los destruimos.

Todo lo anterior nos permitirá elaborar un documento llamado Registro de Actividades de Tratamiento (RAT), cuya finalidad es tener una relación de todos los datos que tratamos, para poder consultarlo en cualquier momento y conocer cómo tenemos los datos estructurados de un vistazo. Es muy importante que se actualice constantemente, ya que es la piedra angular de la privacidad de nuestra empresa.

Fase

2

Auditoría de riesgos: medidas de seguridad y ciberseguridad e implementación de las medidas correctivas correspondientes

En esta fase ya tendríamos el RAT perfectamente definido, lo que significa que ya tenemos una visión completa de los datos que tratais.

El siguiente paso es valorar si los datos se están tratando con las medidas de seguridad de acuerdo con los riesgos que puedan entrañar para la privacidad de nuestros clientes o usuarios. A modo de ejemplo, no es lo mismo el nivel de seguridad que necesitamos si nuestro negocio es un bar o una peluquería, donde habitualmente sólo tratamos nombre, apellidos y teléfonos para citas o reservas, que si nuestra empresa es una asesoría o una correduría de seguros donde manejamos datos sensibles, copias de DNI, números de cuenta, etc.

auditoria delegado adecuacion proteccion de datos consultoria adecuacion datadyser experto

Para poder identificar los riesgos, debemos primero identificar e inventariar todos los recursos que emplea la empresa para el tratamiento de los datos en su día a día. Debemos elaborar una relación de todos los equipos que dispone la empresa e intervienen en sus procesos con datos, o incluso si se utilizan dispositivos personales de los propios empleados. Pueden intervenir, entre otros, dispositivos electrónicos como ordenadores de sobremesa, portátiles, pendrive o servidores para alojar la web o gestionar el correo electrónico. Tampoco debemos olvidar el software que empleamos para gestionar la información, ni los espacios donde se almacena la documentación en formato papel.

Si en algún momento del proceso de adecuación es importante contar con auténticos expertos en protección de datos, es en esta fase.

Fase

3

Elaboración de la documentación: cláusulas, políticas, informes y protocolos

Con toda la información que hayamos recopilado en las fases anteriores, ya dispondremos de información suficiente para elaborar toda la documentación que incluye, entre otros:

  • Cláusulas informativas para incluir en los documentos de recogida de datos (incluidos carteles de videovigilancia).
  • Contratos de confidencialidad con empleados, colaboradores y proveedores.
  • Contratos con Encargados de Tratamiento.
  • Política de Seguridad.
  • Política de Desconexión Digital.
  • Política de protección de datos por diseño y por defecto.
  • Política de uso de dispositivos empresariales y/o personales por parte de los empleados.
  • Registros de Actividades de Tratamiento como Responsables y como Encargados de tratamiento.
  • Informe de estructura técnica y organizativa.
  • Informe de análisis de riesgos.
  • Informe de medidas técnicas y organizativas y certificado de cumplimiento para presentar ante terceros.
  • Protocolo de actuación, y modelos, para el ejercicio de los derechos del interesado.
Fase

4

Formación al empresario y a los empleados

En este momento, nuestra empresa ya estaría adaptada a la normativa de protección de datos, pero de poco sirve que hayamos diseñado un sistema de gestión de la privacidad si las personas que van a intervenir en el tratamiento de los datos no conocen los procedimientos y políticas que hemos establecido. Para ello, en función del tamaño y sector de la empresa, organizaremos sesiones de formación presenciales u online o el envío de píldoras formativas periódicamente.

Fase

5

Asesoramiento y mantenimiento

Una vez hayamos finalizado el proceso de adecuación de protección de datos, tocaría el mantenimiento. Nuestro equipo te acompañará y te ayudará a:

  • Mantener todo el sistema actualizado a los cambios que se realicen en tu empresa.
  • Resolver cualquier duda que te pueda surgir en relación a los tratamientos que vengas realizando o sobre la posibilidad de realizar nuevos.
  • Apoyarte en la atención del ejercicio de los derechos de los interesados.

Solicitud de información

Este campo es un campo de validación y debe quedar sin cambios.