PROTECCION DE DATOS: IMPLANTACIÓN DE UN SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION EN UNA EMPRESA,PYME u ORGANIZACIÓN EMPRESARIAL

La información es un valioso activo del que depende el buen funcionamiento de una organización. Mantener su integridad, confidencialidad y disponibilidad es esencial para alcanzar los objetivos de negocio, proteger los derechos y libertades fundamentales de los interesados, preservar y mejorar la reputación de nuestro despacho profesional

Conforme a lo dispuesto en el artículo 5.1.f) del RGPD, los datos personales serán tratados de tal manera que se garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento («principios de integridad y confidencialidad»)

En el RGPD y en la LOPDyGDD, se consagra el Principio de Responsabilidad Proactiva, por el cual el responsable y encargado de tratamiento serán quienes deberán en todo momento de acreditar el cumplimiento normativo en una doble vertiente, la legal/organizativa, y de seguridad de la información.

Adoptar una actitud proactiva, debe de tener como resultado un doble objetivo:

  1. Poder acreditar ante la Autoridad de Control (Agencia Española de Protección de Datos),  en el supuesto de ser requerido para ello, que se ha adaptado las medidas óptimas para el cumplimiento de la normativa vigente en protección de datos.
  2. Y poder acreditar ante los interesados, que en el desempeño de nuestra actividad profesional, utilizamos unos estándares normativos y organizativos, así como la implantación de unas medias de seguridad válidas para asegurar la integridad, la confidencialidad y la disponibilidad de los datos de carácter personal en todos los procesos de su tratamiento.

Independientemente del volumen de datos que trate UNA Empresa u Organización, para dar cumplimento a este doble objetivo, deberá implantar un Sistema de Gestión de Seguridad de la Información en su organización, y así dar cumplimiento al principio de Responsabilidad Proactiva,  recogido en el Considerando 74 y en los artículos 5.2 y 24 del RGPD.

Existen riesgos físicos como incendios, inundaciones, terremotos o vandalismo, y por otra parte, se encuentran los riesgos lógicos relacionados con la propia tecnología. Hackers, robos de identidad, spam, virus, robos de información y espionaje industrial.

Un Sistema de Gestión de Seguridad de la Información (SGSI en adelante), basado en la norma UNE-ISO/IEC 27001, es una herramienta o metodología sencilla y de bajo coste, que cualquier Empresa u Organización puede utilizar.

Un SGSI permite establecer políticas, procedimientos y controles con objeto de disminuir los riesgos de su organización. Es decir, es una metodología que debe estar en continua evolución. Precisamente esa es la base de cualquier Sistema de Gestión de Seguridad de la Información. Por ello, para su implantación utilizaremos el modelo PDCA, un modelo dividido en cuatro fases en el que finalizada la última y analizados sus resultados se vuelve a comenzar de nuevo la primera.

En una actividad profesional, debemos observar la Protección de los Datos Personales de nuestros clientes, como un activo fundamental que hay que proteger

En primer lugar, obtenemos una reducción de riesgos debido a la implantación y registro de controles sobre ellos.

En segundo lugar, se produce un ahorro de costes al racionalizar los recursos, no existiendo inversiones innecesarias producidas por desestimar o sobrestimar riesgos.

En tercer lugar, la organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios (económicos, patrimoniales o reputacional)

En cuanto lugar, mejora la imagen ante clientes, proveedores, colaboradores…, aumentando la confianza en nuestra Empresa u Organización, y la reputación profesional.