Nuestro equipo de expertos puede aportar, en base al amplio conocimiento en Seguridad TIC, la mejor respuesta

Servicios de AdecuaciÓn y AuditorÍa LOPD

Con la entrada en vigor de la Ley 15/1999 de Protección de Datos de Carácter Personal (LOPD), surge la obligación legal de proteger los datos de carácter personal, lo que llevo en su momento a una pequeña revolución en muchas empresas al establecer por primera vez medidas como consecuencia de las obligaciones legales, organizativas y técnicas que la norma imponía.

Pero si bien esta normativa, supone una mejora en el control sobre los flujos de datos, lo que evita importantes sanciones en caso de inspección por la Agencia Española de Protección de Datos (AEPD), no es menos cierto que algunas compañías han abordado la tarea sin el rigor que tanto la Ley, como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece.

Como cualquier normativa, la LOPD precisa un ciclo de revisión, las empresas están en constante evolución y también la información que por ellas circula. Por ellos las revisiones, no deberían circunscribirse solo a las auditorías bienales que marca el RD 1720/2007. Un vistazo a las sanciones impuestas por la AEPD, nos hará caer en la cuenta que en muchos casos los incumplimientos devienen de faltas de medidas jurídicas y sobre todo organizativas.

Internet Security Auditors ha sabido crear a lo largo de su trayectoria como empresa especializada en consultoría de seguridad, vínculos de confianza profesional con los clientes, lo que nos ha permitido no solo ampliar nuestras líneas de negocio, sino que la constante evolución que mantenemos, nos ha convertido en la empresa proveedora de servicios y de referencia en diversos ámbitos de cumplimiento normativo.
Uno de esos ámbitos, es la normativa en materia de Protección de Datos de carácter personal, Servicios de la Sociedad de la Información y Comercio Electrónico.

El equipo que presta los servicios a nuestros clientes, está formado por abogados y técnicos en seguridad, con amplia experiencia, avalada no solo por los proyectos realizados, sino también por las certificaciones que disponen.
Es conocido que las empresas manejan gran cantidad de información y su protección se ha convertido en el gran caballo de batalla.

La metodología de Internet Security Auditors permite desarrollar nuestros servicios de manera profesional y dinámica, pero sin perder en ningún momento de vista la sencillez que precisan nuestros clientes para entender y obtener el máximo beneficio de la inversión que realizan en los proyectos contratados.
Desde nuestro punto de vista la adecuación o en su caso revisión de un proyecto ya implantado en una empresa en materia LOPD, pasa por las fases que a continuación describimos:

Identificación de la situación de la empresa en materia de cumplimiento normativo

A través de entrevistas con responsable de distintos departamentos y con la documentación facilitada por estos, se efectúa un análisis del grado de cumplimiento normativo en que se encuentra la empresa. Incluso empresas que no hayan realizado todavía la adecuación a la norma no parten de cero, ya que hay medidas implementadas que son adecuadas desde el punto de vista de la LOPD aunque se implementaran con otra finalidad. No se trata de cambiar la mecánica de trabajo de los clientes, se trata de reorientarla y aprovechar lo que ya disponga, para causar el menor impacto en la organización.

AnÁlisis de ficheros

Es necesario realizar un inventario de ficheros de la empresa, para presentar, en el Registro de la AEPD. También se deben comprobar los ficheros preexistentes determinando la necesidad de modificaciones o bajas como consecuencia de los cambios que desde su declaración se hayan podido producir. Recordemos que los ficheros declarados en el Registro de la AEPD, son la imagen pública de la empresa, cualquier ciudadano puede comprobar a través de la página web de la AEPD, existencia o no de ficheros declarados por una determinada razón social.

AnÁlisis de los flujos de datos

Deben analizarse los procesos de datos relacionados con los ficheros existentes:

  • Recogida o entrada de datos en la organización.
  • Cesión de datos.
  • Acceso a datos por cuenta de terceros.
  • Calidad de los datos.
  • Procedimientos para hacer efectivos los derechos legales de acceso, rectificación, oposición y cancelación de los datos de carácter personal.
  • Comprobación de las Transferencias Internacionales de Datos etc...

En definitiva conformar la parte jurídica del proceso, mediante contratos, clausulas y leyendas adaptadas a cada situación o tratamiento.

DocumentaciÓn de seguridad

Es una obligación legal disponer de un Documento de Seguridad, (que debe estar permanentemente actualizado), en el que se describan las medidas de seguridad implantadas en la organización en función del nivel de los datos tratados (Básico, Medio, Alto). En este punto se debe tener especial cuidado con los procedimientos "no documentados", pero ejecutados habitualmente.

Formación de los empleados

La Ley establece que los empleados deben estar formados e informados sobre sus derechos y obligaciones. Un proceso de adaptación a la norma sin la adecuada formación, suele estar abocada al fracaso, si los empleados no son conscientes de las repercusiones que en materia de protección de datos, tienen sus actos o incumplimientos (sanciones).

Implantación de las medidas en la  organizaciÓn

En esta fase deben aplicarse todas las recomendaciones descritas en los informes jurídicos y técnicos

Auditorías

De forma bienal, se establece la obligación de realizar una auditoría para las empresas que dispongan de ficheros de nivel medio y alto declarados en el Registro de la AEPD, no obstante es aconsejable realizar una revisión integral, para comprobar que los posibles cambios técnicos u organizativos que se hayan podido producirse en la empresa, no deja a ésta de nuevo en una situación de incumplimiento