martes, 21 de noviembre de 2017

Controles que garantizan la cultura de seguridad en la empresa

El oficial de protección de datos define controles para asegurar que las políticas adoptadas se implementen y sean conocidas por toda la empresa.




Una vez la empresa ha decidido que la seguridad sea parte de su cultura organizacional, ha nombrado al oficial de protección de dato o al área encargada, debe definir controles que le garanticen que la protección de los datos personales que administra. Se detallan a continuación las etapas que se pueden seguir para asegurar que los datos personales están siendo bien administrados en la empresa.


Procedimientos Operacionales.

Para cada proceso empresarial se debe velar que la información que maneja esté protegida por las políticas generales de protección de datos y demás disposiciones legales vigentes. Caracterizar los procesos empresariales permite detectar que datos personales son manejados en cada etapa y, definir así controles para minimizar riesgos de exposición, es importante identificar:

  • En qué parte del procedimiento o actividad se obtienen los datos
  • Si se debe solicitar la autorización del Titular.
  • Si se está conservando prueba de las autorizaciones para su posterior consulta.
  • Cómo se usan estos datos personales (finalidad) y si realmente se necesitan.

Inventario de las bases de datos con información personal.


Tener el listado de todos los archivos, bases de datos, carpetas, libros, cuadernos donde reposan datos personales, teniendo muy en cuenta su clasificación: sensible, confidencial y pública para saber que medidas especiales se deben adoptar para su protección según el caso .

Políticas.

En particular, la empresa debe incorporar políticas de tratamiento de la información, ajustadas a artículo 4 Ley 1581 de 2012), de obligatorio cumplimiento, que establezcan reglas sobre los siguientes puntos, entre otros:

  • La recolección, uso y divulgación de información personal, incluyendo los requisitos para obtener la autorización de los Titulares.
  • El acceso y corrección de datos personales.
  • La conservación y eliminación de información personal.
  • El uso responsable de la información, incluyendo controles de seguridad administrativos, físicos y tecnológicos, así como controles de acceso.
  • Inclusión de una cláusula de confidencialidad y de manejo de información.
  • Presentación de quejas, denuncias y reclamos.


Herramientas de evaluación de los riesgos.

Se deben definir procesos para evaluar y revisar, en toda la empresa, periódicamente los riesgos que involucren datos personales: en proyectos nuevos y procesos que definan nuevos Tratamientos de datos personales.

Requisitos de formación y educación

Un componente fundamental para implementar un Programa Integral de Gestión de Datos Personales está en la formación y educación continúa de todos los empleados de la organización adaptado a sus funciones. Dentro de los contratos que suscriban los empleados, es importante incluir acuerdos de cumplimiento de las políticas internas adoptadas por los sujetos obligados.

Gestión de los encargados del tratamiento y las transmisiones internacionales de datos personales.

Al contratar una empresa que se encargue de hacer algún tratamiento de los datos se debe tener en cuenta:

  • Disposiciones que le impongan a los Encargados la obligatoriedad de cumplir con las normas colombianas de protección de datos, además, se debe exigir que reporte al Responsable los incidentes de seguridad de la información.
  • Formación y educación en temas de protección de datos personales para los empleados del Encargado que tienen acceso a la información personal.  
  • Exigencia de adherencia a las políticas de tratamiento si se utilizan subcontratistas.
  • Auditorias y acuerdos con los Encargados y sus empleados aceptando que cumplirán con las políticas y protocolos del Responsable del Tratamiento.


Comunicación Externa.


Los sujetos obligados deben desarrollar un procedimiento para informar a los Titulares sus derechos y los programas de control que han implementado, el objetivo de las comunicaciones es:

  • Crear en los Titulares la conciencia de que tienen derecho a acceder a sus datos personales, actualizarlos, corregirlos y eliminarlos y revocar la autorización que hayan otorgado. 
  • Darles a conocer, a los titulares, los mecanismos que han puesto a su disposición para ejercer esos derechos.


Protocolos de respuesta en el manejo de violaciones e incidentes.

Se debe contar con un procedimiento y una persona o área responsable de manejar los incidentes o vulneraciones a los sistemas de información donde se gestionan datos personales. Así mismo, deben prever los mecanismos para rendir informes internos y reportar los incidentes a los Titulares y a la SIC. 

Las empresas deben implementar mecanismos que les permitan comunicarse de manera eficiente con los Titulares afectados para:

  • Informar sobre el incidente de seguridad y sus posibles consecuencias y
  • Proporcionar herramientas a dichos Titulares afectados para minimizar el daño potencial causado.

Fuentes: 
Guía de Responsabilidad Demostrada 
Imagen: Pixabay

Recuerden seguirnos en facebook, twitter, linkedIn, somos @bsolutiongroup