Todo el personal de la organización recibirá una formación básica para que conozcan lo que deben o no deben hacer para evitar fugas de datos, infección de equipos, etc.En el caso de que la organización sufra una Brecha de Seguridad esta debe informarse a la AEPD en plazo y forma correcta. Recibirá un asesoramiento de cómo debe hacerlo para evitar una sanción de la AEPD.El 95% de los programas actualmente son en la nube, (SaaS, Cloud, etc.) en los que alojamos infinidad de datos, este tratamiento debe regularse por ley y debe hacerse de forma correcta para evitar fuga de datos y tratamiento incorrectos.Para la realización de campañas de marketing y Redes Sociales y el uso de imágenes tan habitual, dispone de un servicio de asesoramiento para que lo ejecute sin incumplir la normativa y evitar sanciones.En caso de que la AEPD inspeccione a la organización tendrá a su disposición un abogado con experiencia en la normativa para interponer el recurso en la AEPD.Disponemos de un seguro de responsabilidad civil para cubrir sanciones de la Agencia Española de Protección de Datos.Dispone de una línea directa de asistencia con su consultor asignado para resolver dudas sobre la aplicación de la normativa en su organización.Todos los meses recibe en su correo un Boletín con noticias relevantes e importantes que hayan ocurrido dentro del mes anterior.Al finalizar la implantación y tras una comprobación se hará entrega de un certificado de implantaciónRecibirá el sello de organización adaptada a la LOPD y/o LSSI en formato digital para incluir en documentos y una pegatina para pegar en el establecimiento.Conectará con un consultor que recabará la información necesaria para elaborar la documentación y diseñar la hoja de ruta para adecuar su actividad a la normativa.

El análisis de riesgos es una de las operaciones más complejas y desconocidas que han de realizar las entidades para cumplir la normativa. La base legal que nos obliga a realizarlo se puede encontrar inicialmente en el artículo 32 del Reglamento General de Protección de Datos (RGPD). Este artículo es de obligado cumplimiento tanto para responsables como para encargados de tratamiento, es decir, aquellos profesionales que por el servicio que prestan al responsable, deben acceder a datos personales; asesorías, auditores, servicios informáticos en general, etc.

De una forma u otra, un alto porcentaje de las sanciones que se imponen a PYMES, profesionales, asociaciones, federaciones y resto de sujetos obligados, están relacionadas con un mal análisis de riesgos o una mala adopción de medidas de seguridad.

 

 

¿Cómo se realiza un análisis de riesgos?

 

Hoy por hoy no existe, para entidades privadas, ningún texto legal que indique qué debemos hacer en cada caso concreto. Tenemos que acudir al principio de responsabilidad proactiva, es decir, que la entidad que trata los datos es responsable de cumplir con lo dispuesto en la normativa, y ser capaz de demostrarlo.

Cuando tratamos datos personales, estos deben permanecer disponibles para uso, confidenciales e íntegros. Además debemos asegurarnos de que es así. Para poder demostrarlo en caso de que el interesado, otros responsables autorizados o las autoridades públicas, nos requieran pruebas de cumplimiento.

Para poder hacer todo esto debemos realizar un análisis riguroso. Empezaremos determinando qué datos estamos tratando; para qué, de quién, durante cuánto tiempo, a quién se los tenemos que comunicar si es el caso y cuál es la justificación legal que nos permite realizar ese tratamiento.

Una vez tenemos claros todos los tratamientos y los hemos analizado al detalle, debemos decidir, para nuestro caso concreto, qué impacto tendría para los derechos del interesado (un cliente, un paciente, un empleado…) el que esos datos se hicieran públicos o llegaran a manos no autorizadas. Ese impacto para la privacidad será clave para la adopción de medidas de seguridad, pero no es el único factor a tener en cuenta.

Debemos también determinar qué elementos usamos para el tratamiento de datos; dónde los almacenamos, quién puede acceder a ellos, en qué tipo de equipos informáticos, con qué software, si usamos una nube… De esta manera describimos los activos de información, que consisten en todo aquello necesario para el tratamiento de datos, susceptible de ser atacado.

Dependiendo del tipo de activo, de su ubicación, accesos, tipo de datos a los que accede y otros factores, debemos poder determinar cuáles son las diferentes amenazas a los que están expuestos estos elementos. De este modo podemos evaluar un nivel de riesgo que nos permita decidir qué medidas de seguridad debemos adoptar y cómo, para mitigar ese riesgo lo más posible.

 

 

 

¿Cómo gestionamos los riesgos?

 

Este sistema de gestión del riesgo, debe ser monitorizado continuamente y reevaluado periódicamente. En algunos casos será necesaria una revisión cada año, en otros cada mes. Todo dependerá del tipo de entidad, tipo de datos, impacto a la privacidad, tipos de riesgos detectados, vulnerabilidades de los activos, etc.

Existen múltiples metodologías para el análisis del riesgo y determinación de medidas, multitud de guías y documentación publicadas por las Autoridades de protección de datos europeas. Tenemos mucha información que podemos encontrar con facilidad y estudiar con detenimiento para poder realizar un análisis correcto, no obstante, lo más adecuado es contar con un profesional que nos indique para nuestro caso concreto cual es la forma más rápida, barata y adecuada de preservar la integridad, disponibilidad y confidencialidad de los datos de los que somos responsables.

 

Para ello, Grupo CFI tiene un equipo de profesionales que le asesorarán y realizarán el trabajo necesario para que su entidad cumpla con la normativa de protección de datos.

Julio César Miguel Pérez

CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.