Adecuación a la LOPD
-
Upload
ascendia-reingenieria-consultoria -
Category
Business
-
view
1.033 -
download
0
Transcript of Adecuación a la LOPD
Protección de Datos Puntos Fundamentales
Todas las empresas y organizaciones tratan Datos
de Carácter Personal en el ejercicio de su
actividad, por lo que tienen la obligación legal
de adaptar su Sistema de Información e
instalaciones de tratamiento y almacenamiento
de datos, al cumplimiento legal y normativo en
materia de protección de datos de carácter
personal, LOPD y RLOPD.
La Protección de Datos tiene como fin el
garantizar el derecho al honor y la intimidad
personal de todos los ciudadanos y el pleno
ejercicio de sus derechos, y las sanciones por
su incumplimiento llegan hasta los 600.000 €.
Desde ascêndia reingeniería + consultoría
proponemos una metodología de adecuación a
la LOPD que destaca por su rigurosidad,
garantizando la gestión del activo más
importante: la información relativa a clientes,
proveedores, colaboradores, personal, etc.
Adecuación a la Ley Orgánica de Protección de Datos
(LOPD)
2 de 5
Adecuación a la Ley Orgánica de Protección de Datos
La LOPD tiene por objeto garantizar y
proteger, en lo que concierne al tratamiento
de los datos personales, los derechos
fundamentales de las personas físicas, y
especialmente de su honor e intimidad. Todas
las entidades que en el desarrollo de su
actividad legítima requieran el tratamiento
de datos personales deberán dar
cumplimiento a los requisitos legales.
El marco normativo de aplicación
comprende:
Ley Orgánica 15/1999, de 13 de
Diciembre, de Protección de Datos de
Carácter Personal (LOPD).
Real Decreto 1720/2007, de 21 de
diciembre, por el que se aprueba el
Reglamento de Desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter
Personal, en vigor desde el 19 de Abril
de 2008 (RLOPD).
Directiva 95/46/CE del Parlamento
Europeo y del Consejo, de 24 de Octubre
de 1995, relativa a la protección de las
personas físicas en lo que respecta al
tratamiento de datos personales y a la
libre circulación de datos.
Instrucciones de la Agencia de
Protección de Datos.
A QUÉ AFECTA LA LEY
La LOPD es aplicable a los Datos de Carácter
Personal (DCP) registrados en soporte físico,
que los haga susceptibles de tratamiento, y a
toda modalidad de uso posterior de estos
datos por los sectores público y privado.
Están excluidos del régimen de protección de
la LOPD los ficheros mantenidos por personas
físicas en el ejercicio de actividades
exclusivamente personales o domésticas (e.j.:
una agenda personal no es un fichero
sometido a la aplicación de esta Ley), los
ficheros sometidos a la normativa sobre
protección de materias clasificadas, los
ficheros establecidos para la investigación de
terrorismo y de formas graves de delincuencia
organizada, que se regirán además por la
legislación específica en cada caso.
Desde ascêndia reingeniería + consultoría le
ofrecemos cuatro servicios bien diferenciados
que proporcionan a su empresa todo el
asesoramiento necesario en el diseño e
implantación de procedimientos y medidas de
seguridad que garanticen la plena adecuación
en el corto, medio y largo plazo a los
requerimientos normativos.
SERVICIOS DE RIGOR
LEGISLACIÓN APLICABLE
3 de 5
Adecuación a la Ley Orgánica de Protección de Datos
1-PROYECTO DE ADECUACIÓN
El proceso de Adecuación a la LOPD consta
de 8 fases y una duración aproximada de 10
semanas (estimado para una pyme):
Fase 1. Preparación. Identificación y análisis
del flujo de DCP (entradas-tratamiento-
salidas) de la organización, así como los DCP
utilizados en la misma. Se identifican los
Ficheros con datos de carácter personal que
serán notificados a la Agencia Española de
Protección de Datos para su inscripción en el
Registro General de Protección de Datos.
Fase 2. Análisis. Evaluación del cumplimiento
del RLOPD en base a los niveles de seguridad
de los ficheros (básico, medio, alto), las
medidas implantadas para garantizar la
seguridad de los mismos y de las instalaciones
de tratamiento y almacenamiento de los datos de
carácter personal.
Fase 3. Informes. Presentación del Informe
de Pre Auditoría, en el que se proponen las
modificaciones técnicas, organizativas y
jurídicas que deben implementarse para
garantizar el cumplimiento de la RLOPD.
Fase 4. Implementación de Salvaguardas. El
cliente selecciona las recomendaciones
(salvaguardas) a implementar en base a las
necesidades del sistema de información.
Fase 5. Plan de Acción. Implantación por
parte del cliente de las salvaguardas
seleccionadas. Elaboración del Documento de
Seguridad; establecimiento de Políticas de
Seguridad, elaboración de contratos y
cláusulas legales, establecimiento de los
procedimientos de actuación interna (cómo
hacer copias de seguridad, como acceder a
los programas, etc.).
Fase 6. Formación. El responsable de
Seguridad de la organización recibe el manual
de formación y una sesión formativa.
Fase 7. Fin del proceso de adaptación.
Entrega de la documentación personalizada y
definición del programa de Auditoria.
Fase 8. Auditoría. Realización de la auditoría
legal del Sistema de Información en toda su
amplitud. Redacción del Informe de
Auditoría, en el que se plasmará el estado
final de la entidad en lo que al cumplimiento
normativo. Este Informe de Auditoría deberá
estar a disposición de la Agencia Española de
Protección de Datos.
4 de 5
Adecuación a la Ley Orgánica de Protección de Datos
2-AUDITORÍA
Realización de la auditoría de los sistemas
de información e instalaciones de
tratamiento y almacenamiento de datos
recogida en el RLOPD. Se tendrán en cuenta
tres aspectos diferenciados e integradores:
Técnico: revisión de las medidas de
seguridad de ficheros automatizados,
equipos, locales, centros de tratamiento
y aplicaciones informáticas que traten
los datos de carácter personal.
Organizativo: revisión de procedimientos
elaborados e implantados por las
entidades necesarias para garantizar la
seguridad de los ficheros que contengan
datos de carácter personal, revisión de
los procedimientos de gestión
documental.
Jurídico: revisión de políticas de
privacidad, clausulado y acuerdos de
confidencialidad.
3- MANTENIMIENTO
Este servicio incluye:
Tareas de seguimiento de la actividad
del cliente, enfocadas al
mantenimiento, revisión, modificación y
actualización del contenido del
Documento de Seguridad
(procedimientos, políticas, normas,
registros, etc.).
Asistencia técnica a la figura del
Responsable de Seguridad.
Asesoramiento ante inspecciones y/o
denuncias de la Agencia Española de
Protección de Datos.
Asesoramiento para la redacción,
modificación o actualización del
clausulado necesario para dar
cumplimiento al derecho de información
y obtener el consentimiento de los
titulares de los datos de carácter
personal para el tratamiento.
Asesoramiento en la elaboración de
contratos de prestación de servicios con
acceso a datos de carácter personal.
Asesoramiento para dar respuesta en
plazo y forma a las solicitudes de los
afectados para el ejercicio de sus
derechos de acceso, rectificación,
cancelación y oposición.
4- EXTERNALIZACIÓN
En este caso se realiza una contratación con
ascêndia reingeniería + consultoría, de
todas las labores de gestión desarrollados por
la figura del Responsable de Seguridad y del
Encargado del Tratamiento. Todo ello en los
términos del artículo 26 del Real Decreto
5 de 5
Adecuación a la Ley Orgánica de Protección de Datos
1720/2007, de 19 de diciembre, RLOPD. Se
incluye:
Gestión y actualización del Documento
de Seguridad de la entidad.
Redacción de procedimientos de gestión
interna que definan las pautas de
comunicación del cliente con ascêndia
reingeniería + consultoría para verificar
la permanente actualización del
Documento de Seguridad, el
cumplimiento de todas las normas,
procedimientos y estándares que
contempla.
Elaboración y registro de los contratos
de delegación del tratamiento de datos
de carácter personal en los términos
exigidos en el artículo 12 de la LOPD.
Gestión de la respuesta en plazo y forma
a las solicitudes de los afectados para el
ejercicio de sus derechos de acceso,
rectificación, cancelación y oposición.
ascêndia reingeniería + consultoría colabora con las siguientes Organizaciones
Instituto Nacional de Tecnologías de la Información
Asociación Española para el Fomento de la Seguridad de la Información
Socios de Asociación Andaluza de Comercio Electrónico
Socio fundador del comité de Andalucía de ITSMF (Information Technology Service Management Forum)
www.inteco.es www.ismsforum.es www.andce.es www.itsmf.es
www.ascendiarc.com - [email protected] Avda. Padre García Tejero, 6, Torre B, Local. 41012 – Sevilla
T. 954 298 201 - 902 111 024 F. 954 629 674