Gestión y Protección de la Información

UNA BUENA GESTIÓN DE LA INFORMACIÓN ES DETERMINANTE PARA CONSEGUIR UNA PROTECCIÓN EFICAZ DE LOS DATOS

En un momento como el actual, en el que la Transformación Digital está revolucionando tanto la forma de relacionarnos con clientes y proveedores, como la forma de ejecutar y gestionar las operaciones, la entrada en vigor del RGPD representa una excelente oportunidad para revisar y mejorar la gestión y la protección de la información que gestionamos en nuestras organizaciones.

Proteger los datos de carácter personal, conforme al reglamento, es una derivada de la obligada protección que debemos ejercer sobre la totalidad de la información que gestiona nuestra empresa. Puesto que los datos de carácter personal son tan sólo la parte más visible de la totalidad de datos que gestionamos.

Si aún no estás protegiendo los datos de carácter personal, quizás tampoco estés protegiendo otros datos críticos para tu organización

Y dado que tanto la empresa como las circunstancias en las que desarrolla su actividad son dinámicas, y están en permanente evolución, el principio de PREVENCIÓN sobre el que se desarrolla el RGPD invita no sólo a establecer las condiciones adecuadas para poder cumplir con la legislación, sino también a asegurar que tales condiciones se mantienen y evolucionan al mismo ritmo al que lo hace la empresa.

Basada en los principios de gestión integral y protección de la información y de mejora continua , nuestra oferta de servicios de Adaptación al RGPD está dirigida a:

• Habilitar en su empresa las condiciones necesarias y suficientes para que pueda cumplir con las exigencias del RGPD, en todos los ámbitos en los que la RGPD incide:
• ámbito de relación contractual con terceros y de protección legal,
• ámbito de gestión, estableciendo los procedimientos de protección de la información, de gestión de los tratamientos, de gestión de las brechas de seguridad, de la formación interna.
• ámbito técnico, auditando, adaptando o implementando los sistemas y herramientas informáticas que afectan a la gestión, protección, seguridad e integridad de los datos.
• Establecer los protocolos y procedimientos de actuación necesarios para asegurar que las condiciones de cumplimiento de las exigencias de la RGPD se mantienen y perfeccionan a lo largo del tiempo.

Metodología de actuación

Seguimos las guías de buenas prácticas propuestas tanto por la AEPD como por los estándares de gestión, optimizando y adaptando los procedimientos propuestos a las circunstancias de nuestros clientes.

Las actividades que forman parte de nuestra oferta de servicio pueden ser contratadas en su totalidad o de forma individual, de manera que en cada organización aplicamos las acciones estrictamente necesarias para alcanzar las condiciones necesarias para el cumplimiento del reglamento bajo sus propias circunstancias. La secuencia de actividades es cíclica, siguiendo el ciclo de mejora contínua de Deming (PDCA)

Consultoría de adaptación al RGPD

• Análisis previo: Actividad imprescindible para identificar el grado de madurez de la organización respecto a las exigencias del RGPD. Como resultado de esta actividad determinamos el alcance del proyecto de adaptación al RGPD y presentamos una propuesta formal.
• Análisis de Tratamientos (Flujos de Datos): Identificamos y documentamos los orígenes y finalidades de los datos de carácter personal que gestiona la empresa, los tratamientos que se realizan sobre ellos, y los agentes internos y/o externos que se encargan de los tratamientos.
• Análisis DPD: En función de la actividad, tratamientos y circunstancias de una organización, el RGPD puede exigir la disponibilidad en la organización de la figura del DPD. Determinamos su obligatoriedad, y ayudamos en el proceso de selección de la persona o entidad externa que haya de asumir ese rol. La persona designada habrá de participar en el resto de actividades del proyecto de adaptación al RGPD.
• Análisis de Riesgos: Identificamos y documentamos las potenciales amenazas a la confidencialidad, la integridad y la disponibilidad de los datos personales; evaluamos y documentamos las posibles consecuencias negativas para la organización y para los afectados, y definimos las acciones de control sobre tales riesgos necesarias para disminuir el nivel de exposición.
• Evaluación de Impacto sobre Protección de Datos (EIPD): La EIPD es una herramienta con carácter preventivo que debe realizar el responsable del tratamiento para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. Una vez establecidos los niveles de riesgo sobre los tratamientos, siguiendo las directrices del reglamento se realizará un EIPD sobre los tratamientos que lo requieran.
• Gestión de encargados de tratamiento: Revisión y adaptación de las relaciones contractuales con los encargados de los tratamientos de datos personales.

Implantación

• Plan de tratamiento de riesgos: Definimos y documentamos los procedimientos de control sobre los riesgos, identificados en el Análisis de Riesgos, estableciendo los protocolos de gestión y actuación sobre las brechas de seguridad. Diseñamos e implantamos las medidas de seguridad, tanto a nivel organizativo como técnico.
• Políticas: Revisamos y documentamos las políticas de seguridad de la empresa, para adecuarlas a los tratamientos establecidos.
• Procedimientos: Rediseñamos y documentamos los procedimientos y protocolos de trabajo que afectan a los flujos de datos personales, y a la gestión de incidencias y brechas de seguridad.
• Soporte legal: Revisión y actualización de claúsulas en contratos y comunicaciones con terceros, adaptando los protocolos a los nuevos derechos ARCO y asegurando que la cadena de custodia de datos personales está suficientemente protegida desde el punto de vista legal.
• Medidas de seguridad organizativas y técnicas: Implantación y/o adaptación de los protocolos de seguridad y de los sistemas y herramientas informáticas necesarias para proteger la información relativa a datos de carácter personal.
• Sensibilización y Formación del Personal: Gestión del Cambio necesario para que la organización en su totalidad conozca los nuevos protocolos de actuación, y esté conciencienzada y sensibilizada ante la necesidad de proteger la información que gestiona.

Auditoría

• Auditoría de protección de datos
  • Medidas de seguridad: Verificación de la validez y solidez de protocolos y de medidas de seguridad sobre la protección de datos personales, establecidas en la organización.
  • Deficiencias: Identificación y constatación de las deficiencias sobre la protección de datos personales, estableciendo las acciones correctoras que corresponda.
  • Mejoras: Identificación de oportunidades de mejora y definición de recomendaciones.
  • Tratamientos: Revisión y actualización de la documentación de flujos de datos personales, ajustándolos a la realidad actual.
• Auditoría de sistemas de información
  • Infraestructura: Revisión de redes, topologías y protocolos de comunicación.
  • Estándares: Verificación del cumplimiento y nivel de adaptación a los estándares de buenas prácticas.
  • Sistemas: Revisión de sistemas operativos, e identificación de vulnerabilidades de seguridad.
  • Aplicaciones: Análisis de servicios y aplicaciones involucrados en el tratamiento de datos personales.
  • Vulnerabilidades: Detección, comprobación y evaluación de vulnerabilidades. Establecimiento de medidas específicas de correción.

Mantenimiento

• Respaldo o ejecución de las obligaciones propias del Delegado de Protección de Datos
  • Asesoramiento a responsables y encargados de tratamiento, y al personal de la empresa.
  • Supervisión del cumplimiento de la normativa.
  • Inspección de la asignación de responsabilidades.
  • Control y actualización de la formación del personal.
  • Ejecución y Revisión de auditorias periódicas .
  • Ejecución periódica de la EIDP y asesoramiento de actuación.
  • Gestión de consentimientos.
• Asesoramiento Jurídico
• Seguro RC sobre protección de datos.

Nuestro equipo de colaboradores está constituido principal y prioritariamente por profesionales senior, de valía y experiencia demostradas en sus respectivas áreas competenciales, siendo así mismo objeto de la empresa facilitar la reintegración al mundo laboral de profesionales cuya edad dificulta el acceso a puestos de trabajo dignos y adecuados a sus competencias.