Servicio de integración del RGPD en los Sistemas de Gestión

Servicio de integración del RGPD en los Sistemas de Gestión2018-03-06T10:15:39+00:00

INTEGRACIÓN DE LA PROTECCIÓN DE DATOS EN LOS SISTEMAS DE GESTIÓN

PIDA INFORMACIÓN SIN COMPROMISO

Nuestro técnico le asesorará

La información es uno de los principales activos de las organizaciones. La defensa de este activo es una tarea esencial para asegurar la continuidad y el desarrollo del negocio, así como también es una exigencia legal en nuestro país.
Cuanto mayor es el valor de la información, mayores son los riesgos asociados a su pérdida, deterioro, manipulación indebida o malintencionada.
El servicio que ofrece SETEMCAT está basado en el Sistema de Gestión de la Seguridad de la Información y en la nueva concepción de “Estructura de Alto Nivel” con el objetivo de establecer una mejora continua del desempeño de la LOPD mediante el liderazgo y compromiso por parte de la alta dirección, teniendo en cuenta los requisitos legales y otros requisitos de la propia organización, partes interesadas, estableciendo procedimientos de control con el fin de comprobar y verificar el desempeño del sistema y planificando las medidas para conseguir los objetivos establecidos, todo ello dentro del contexto de la propia organización.
En SETEMCAT creemos que el enfoque del servicio hacia un Sistema de Gestión ofrece importantes beneficios a la organización. Por una parte, aporta un método de trabajo sistemático minimizando riesgos; identifica, valora y controla los activos y sus riesgos considerando el impacto para la organización y se adoptan los controles y procedimientos más eficaces y coherentes con la estrategia de negocio.
Por otra parte, aporta un valor a la empresa mejorando su imagen y ofreciendo confianza y seguridad a sus clientes, convirtiéndose en un factor de distinción frente a la competencia dentro de un mercado cada vez más cambiante.

“Las Organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero por que ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los equipos”

Kelvyn Mitnlck

DESARROLLO DEL SISTEMA DE GESTIÓN EN PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL – LOPD

A continuación, se expone la metodología de trabajo que SETEMCAT ofrece para la integración del sistema de gestión en protección de datos de carácter personal en la organización.

El objetivo de este apartado es conocer a la organización para determinar que les puede afectar a nivel interno y externo, que activos requieren proteger y de acuerdo con los recursos disponibles, como podría darse esta protección para establecer el nivel de aceptación del riesgo al cual están dispuestos, determinar los alcances y limitaciones existentes

En primer lugar, el consultor con la ayuda de la organización realizará una visita inicial de toma de datos para:

  • Conocer las actividades realizadas hasta el momento en materia de Protección de Datos.
  • Comprender y definir el contexto de la organización.
  • Comprender y determinar las necesidades y expectativas de las partes interesadas tanto internas como externas y sus requisitos
  • Determinar los límites y la aplicabilidad del sistema de gestión para establecer su alcance

En definitiva, contextualizar la organización para conocer y establecer el punto de partida, conocer y analizar sus riesgos identificando amenazas, vulnerabilidades e impactos en la actividad empresarial

El objetivo principal de este apartado, es integrar el sistema de gestión dentro del marco global de la organización de manera eficiente y eficaz.

El consultor ayudará a la organización a establecer un liderazgo responsable por parte de la alta dirección dando a entender la importancia de salvaguardar uno de los activos más importantes para el desarrollo y continuidad de la organización. Al mismo tiempo, ayudará a establecer unos compromisos para el desempeño y la consecución de los objetivos establecidos apoyando otros roles pertinentes de la dirección para demostrar su liderazgo.

No cabe olvidar, la importancia de transmitir al conjunto de la organización la política, los objetivos y los requisitos, tanto internos como externos, que la organización pretende alcanzar.

Para ello, se llevará a cabo unas jornadas formativas con el fin de dar a conocer, promover, concienciar y capacitar al conjunto del equipo humano en relación al cumplimiento de la LOPD estableciendo funciones, roles y responsabilidades de cada departamento.

A través de la planificación, el consultor pretende evaluar los riesgos e identificar las oportunidades que son pertinentes para el cumplimiento de la LOPD. En el mismo sentido, se identifican los riesgos que se quieren proteger y sus debilidades, así como las amenazas a las cuales se encuentran expuestos.

Dentro de este apartado, se tendrán en cuenta los activos relevantes, las actividades rutinarias y no rutinarias, la infraestructura, los equipos, los soportes, el factor humano, procesos y procedimientos operativos, situaciones de emergencia como pérdidas, uso indebido o manipulación fraudulenta de la información. En definitiva, riesgos de origen natural, técnico y humano que pueden dar origen a un impacto notable sobre el negocio sobre los activos tangibles como los intangibles.

La organización deberá establecer los recursos necesarios tanto técnico, tecnológicos, humanos para garantizar el cumplimiento, implementación y mantenimiento de la LOPD con el objetivo de una mejora continua.

El consultor podrá aconsejar a la empresa con la toma de decisiones para el logro del desempeño, a través de formaciones y toma de conciencia del personal, aplicando acciones para adquirir o mejorar la competencia necesaria para el desarrollo de sus funciones, entre otros.

En la etapa de operación, el consultor adecuará e implantará la LOPD dentro de la organización mediante aspectos documentales como la declaración de ficheros en la AEPD, confección del Documento de Seguridad y anexos, redacción de cláusulas relativas al ejercicio de los derechos ARCO, estudio para la correcta obtención del consentimiento del afectado, Redacción de contratos con Encargados del Tratamiento, correcta regulación de cesiones de datos intragrupo y con terceros, clausulado de contratos de trabajo para empleados, etc

Además, también se pretende dar tratamiento a los riesgos estableciendo e implantando las acciones a tomar para mitigar los riesgos encontrados y lograr riesgos residuales aceptables para la organización.

Se establecerá un plan consecuente con los requisitos legales y otros requisitos, las metas y objetivos establecidos priorizando aquellos que presenten un mayor impacto para la organización.

Mediante el servicio de mantenimiento, se pretende gestionar los incidentes, controlar posibles cambios, satisfacer nuevas necesidades, identificar nuevos riesgos, proponer nuevas medidas, establecer los recursos necesarios, en definitiva, mantener actualizada la gestión de la LOPD dentro de la organización, así como, asesorar de los cambios de adaptación al nuevo Reglamento Europeo.

La evaluación del desempeño es un proceso fundamental para que la organización conozca el grado de cumplimiento de los requisitos legales y otros requisitos, así como, la evolución y eficacia del desempeño de forma sistemática, independiente y documentada.

El auditor dará curso a las auditorías internas a periodos establecidos junto con la dirección y las auditorías externas fijadas por la normativa, determinando las no conformidades y estableciendo nuevos plazos para el cumplimiento de los requisitos.

Los resultados de las auditorías se presentarán a la alta dirección para que pueda fijar nuevas medidas para el cumplimiento de las no conformidades.

Este apartado está basado en el círculo de Deming o Ciclo PDCA (Planificar, Hacer, Verificar y Actuar) estrechamente ligado a los Sistemas de Gestión, de forma que las actividades son reevaluadas periódicamente para incorporar nuevas mejoras, y a su vez, determinar los riesgos y oportunidades e implementar las acciones necesarias para lograr los resultados previstos   en el sistema de gestión LOPD

El consultor, a través del análisis de los resultados de las auditorías, asesorará a la organización sobre las acciones a tomar para eliminar las causas de las no conformidades, seleccionar las oportunidades de mejora, así como considerar las necesidades y expectativas futuras de la organización con el fin de mejorar el desempeño y la eficacia del sistema de gestión LOPD.