lunes, 26 de julio de 2010

Guía implantación LOPD en Pymes (IV)

La Fase 2 que propongo para la adecuación de las pymes y micropymes a la LOPD consiste en definir y elaborar la documentación pertinente para ello y tiene como principal objetivo el establecer el marco interno de referencia en lo que respecta a la protección de los datos de carácter personal manejados por la organización.

El principal documento que se debe obtener en esta fase es el Documento de Seguridad, que debe regular todos los aspectos ligados a la seguridad de los datos de carácter personal manejados en la organización y será de obligado cumplimiento para todo el personal de la misma con acceso a dichos datos. La elaboración de este documento es obligatoria para el Responsable de Fichero o Tratamiento y, en su caso, para los Encargados de Tratamiento.

El Documento de Seguridad tiene la consideración de documento interno de la organización y debe mantenerse permanentemente actualizado ante cambios en la normativa legal y reglamentaria, y cambios en la propia organización que afecten a la seguridad de los datos (ficheros, recursos de los sistemas de información, medidas de seguridad aplicadas, etc.). El detalle del contenido mínimo de este documento, en función del nivel de seguridad aplicable a los ficheros existentes en la organización, se recoge en el artículo 88 del Reglamento de Desarrollo de la LOPD.

Se pueden elaborar uno o varios documentos de seguridad. Para pymes y micropymes, recomiendo que se elabore un documento único que comprenda todos los ficheros o tratamientos.

Desde mi punto de vista, la elaboración del Documento de Seguridad es, sin duda, una de las actividades más importantes, ya que en él se deben establecer todas las medidas, tanto de índole técnico como organizativo, a implantar en la organización, y, al mismo tiempo y en mi opinión, se trata de una labor complicada para aquellas personas no familiarizadas con la protección de datos de carácter personal.
Para facilitar esta actividad, la AEPD pone a disposición de los Responsables de Ficheros y Encargados de Tratamiento una Guía para la elaboración del Documento de Seguridad, que se puede obtener en la página web de la AEPD, www.agpd.es, en el canal del responsable de ficheros.

Para la elaboración del Documento de Seguridad se partirá del “Inventario de Ficheros con datos de carácter personal” obtenido en la fase anterior y, una vez elaborado y a partir del mismo, propongo que se obtenga, además, la siguiente documentación:

- Instrucciones de protección de datos: se trata de elaborar pequeños resúmenes de los aspectos más relevantes, incluidas funciones y obligaciones, que los usuarios con acceso a datos de carácter personal deben necesariamente observar y cumplir en el desempeño de sus puestos de trabajo.

No hay que olvidar que el Responsable de Fichero o Tratamiento y, en su caso, el Encargado de Tratamiento debe encargarse de facilitar a su personal, de manera comprensible, las funciones y obligaciones que afectan en esta materia al puesto de trabajo que desempeñan.

Ejemplos de instrucciones a elaborar podrían ser las siguientes: “Funciones y obligaciones de los usuarios”, “Ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte de los interesados”, “Notificación, gestión y respuesta ante incidencias” y “Gestión de ficheros y tratamiento con datos de carácter personal” (esta última para englobar los asuntos más importantes de la citada gestión).

Como digo, con independencia de que el Documento de Seguridad esté disponible para los usuarios, con objeto de que estos conozcan las funciones y obligaciones que les afectan, entiendo que es una buena práctica la elaboración y entrega al personal de estos resúmenes para divulgar de forma eficaz en la organización la normativa interna en esta materia. Además, cabe recordar que, en el caso concreto de los derechos de los afectados, todos los usuarios con acceso a datos de carácter personal deben ser capaces de informar a estos de los pasos a dar para el ejercicio de los mismos.

- Documento para la comunicación, sensibilización y formación a impartir a los usuarios: que servirá para el desarrollo de la siguiente fase y que, a mi juicio, constituye una de las actividades más importantes a realizar, ya que es evidente que poco o nada conseguiremos si no se logra involucrar a los usuarios que manejan los datos de carácter personal.

En una pyme o micropyme entiendo que bastaría con una única sesión dirigida a todos los usuarios que acceden y tratan datos de carácter personal, ya que no suele haber diferencias significativas en los perfiles de los mismos. El documento de la sesión a impartir debería recoger, al menos, tanto los aspectos básicos de la LOPD y del Reglamento que la desarrolla, como los aspectos más importantes de la adecuación en la propia organización, es decir, de la normativa recogida en el Documento de Seguridad, haciendo especial hincapié en las funciones y obligaciones a cumplir por parte de los usuarios.

- Normativa interna sobre el uso de los recursos informáticos y de comunicaciones: Aunque entiendo que es un tema no estrictamente ligado a la protección de datos de carácter personal (sí lo es para salvaguardar la privacidad de los empleados, e incluso de terceras personas, si se decidiera auditar estos medios ante un uso inadecuado, abusivo o ilegal de los mismos por parte de algún trabajador), creo que es muy recomendable establecer esta normativa con objeto de advertir de las medidas de control que se pueden aplicar y de procurar una utilización correcta de los usuarios con respecto a los medios de este tipo que la organización pone a su disposición (correo electrónico, conexión a internet,…).

Por tanto, como entrada para la realización de esta fase tendremos el “Inventario de Ficheros con datos de carácter personal”, obtenido en la anterior, y como salidas de la misma, al menos (aunque sería recomendable obtener todas las indicadas), el “Documento de Seguridad” y la documentación necesaria para impartir la sesión de comunicación, sensibilización y formación al personal involucrado.

No hay comentarios:

Publicar un comentario