Fuente del esquema: elaboración propia |
0. Antes de comenzar con el diseño del sistema de gestión en Privacidad de la Información, se plantea la necesidad de determinar el grado de conocimiento que la empresa u organización poseen en la materia y si se han abordado acciones al respecto. Chequeando la organización deberemos comprobar: . Si existe una cultura institucional en materia de la seguridad de la información. . Las diferentes divisiones y colaboradores con acceso a datos de carácter personal. . La finalidad y licitud del tratamiento. . Sistema de tratamiento (papel, digital...). . Categoría de datos de carácter personal a tratar. . Tecnología utilizada en el tratamiento de los datos. . Protocolos de recogida de los datos personales. . Modo de información de derechos a los titulares de la información. . Cesión de datos personales. . Modo de archivo de la información. . Medidas organizativas y técnicas de seguridad aplicadas. . Procedimientos de recuperación de la información. . Copias de seguridad. De esta forma, conoceremos la realidad de la organización en materia de protección de datos y, a su vez, sirve de hoja de ruta para el delegado de protección de datos o persona responsable a la hora de diseñar el programa específico de cumplimiento normativo.
1. Inventariar el entorno legislativo en el que la institución desarrolla sus actividades se encuentra en constante cambio, haciendo que éste cada vez sea más abundante y complejo. Es fundamental realizar la identificación de toda la normativa aplicable a la actividad de aquella para diseñar la estrategia y los procedimientos a fin de dar cumplimiento a los preceptos legales y así poder salvaguardarse ante situaciones de riesgo que podrían derivar unas consecuencias económicas que podrían afectar a su estabilidad e incluso a su continuidad.
2. Identificar y razonar la entidad responsable del tratamiento de los datos así como su sistema organizativo, en particular, la definición de roles y obligaciones de los miembros de la organización, la política de control de accesos, la política de información y cualquier otra documentación significativa.
3. La designación de la figura del responsable de seguridad es de carácter facultativa, por lo que su nombramiento se deberá valorar por cada empresa u organización. Se trata de la persona o personas que se encargará/n de coordinar y controlar las medidas adoptadas en el manual de seguridad. A pesar del aumento de discrecionalidad otorgada en el REPD las entidades a la hora de definir sus medidas organizativas y técnicas, el nombramiento de este cargo contribuye a garantizar el principio de responsabilidad proactiva que configura la forma de proceder del Responsable del tratamiento de datos personales. Su nombramiento, al igual que el nombramiento del Delegado de Protección de Datos (DPD), se deberá documentar: Datos identificativos del Responsable de Seguridad. Consideraciones justificativas de su nombramiento. Funciones y obligaciones derivadas de su cargo.
4. Definir y registrar los distintos perfiles de usuarios implicados en la protección de datos, en específico, el responsable del tratamiento, el encargado del tratamiento, los destinatarios, los corresponsables, los usuarios internos, interesados, afectados… Diseño de procedimientos que garanticen el cumplimiento de las políticas en protección de datos, con información básica relativa al tratamiento, en particular, sobre la naturaleza, el ámbito, el contexto y los fines, así como el análisis de proporcionalidad y necesidad.
5. Identificación, inventario y registro de las actividades de tratamiento de datos personales. El ordenamiento jurídico aplicable establece como actividad de tratamiento cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
6. Evaluación del impacto. En base al art. 35 RGPD, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento de datos personales cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines entrañe un alto riesgo para los derechos y libertades de las personas físicas.
7. Estudiar cada fase para su optimización con relación a la necesidad, la minimización, la conservación, los accesos y los controles. Definir los casos de uso del tratamiento y los criterios tenidos en cuenta por el responsable para su determinación. En particular, en la definición de los casos verificar si se han tenido en cuenta la protección de la privacidad de sujetos de colectivos vulnerables, especialmente menores.
8. Tras la identificación de los posibles riesgos en la evaluación de impacto, se analizarán los mismos, combinando la probabilidad de su materialización y el impacto que puede producir en ellas. Según el REPD y la AEPD, el análisis del riesgo es uno de los elementos en los que se sustenta cualquier modelo de prevención y control de la Privacidad de la Información. Su principal función es identificarlas actividades que pueden entrañar un riesgo que vulnere el derecho fundamental de protección de datos de los interesados. Identificado el riesgo se tendrá que especificar la causa de su origen y la relación de las conductas inapropiadas que lo generan. De ese análisis se genera la matriz de riesgo.
9. Diseño de un plan de acción que servirá para poner en conocimiento cómo se gestionarán los riesgos identificados mediante un conjunto de acciones, las cuales deben ser aprobadas por el órgano de gobierno. Se recogerán los métodos de seguimiento, medición, análisis y evaluación del riesgo. Las acciones contempladas se ejecutan en un período determinado de tiempo para reforzar progresivamente el sistema de gestión de protección de datos personales.
10. Identificación y protocolización del conjunto de medidas organizativas y técnicas adoptadas por el responsable del tratamiento de conformidad con el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamientos, con el fin de garantizar un nivel de seguridad adecuado a los riesgos identificados.
11. Diseño de un mecanismo de comunicación interna, que deberá ser establecido por el órgano competente de la empresa u organización, a disposición de los trabajadores o de terceros ajenos a la entidad, para facilitar la comunicación de cualquier presunta conducta contraria a la presente normativa en materia de protección de datos.
12. Diseñar un plan de formación continua en materia de protección de datos, dirigido a los colaboradores internos de la institución.
______________________________________
[1] Art. 24.1 REPD.
[2] ISO/IEC 27001 y 27002.