Buenas prácticas de protección de datos para cualquier organización
El desarrollo de las nuevas tecnologías en las últimas décadas ha conllevado una verdadera amenaza para nuestra privacidad. Las redes sociales, el metaverso, el internet de las cosas y otros avances tecnológicos hacen que cada día más organizaciones tengan mayor información de los ciudadanos. Así, si hace unos años la geolocalización estaba en manos únicamente de grandes corporaciones multinacionales, el avance de la técnica ha permitido que cualquier empresa pequeña pueda instalar herramientas de geolocalización en los dispositivos de los empleados, por un coste muy razonable.
Por esta razón, el legislador europeo ha trabajado en desarrollar una normativa capaz de proteger los derechos de protección de datos de los ciudadanos en detrimento de las empresas europeas, que se ven expuestas a cuantiosas sanciones en caso de incumplimiento.
Teniendo en cuenta esta normativa, así como las recomendaciones de la Agencia Española de Protección de Datos, desde Microlab queremos dar a conocer las siguientes buenas prácticas que debe cumplir cualquier organización que trate datos personales:
Acceso restringido a la información
Las organizaciones tratan gran cantidad de datos personales durante su actividad: datos de clientes, socios, empleados, contactos comerciales… Es preciso que dentro de la organización, los empleados tengan acceso únicamente a los datos que precisen para el desempeño de su actividad. Así, el acceso al sistema informático deberá estar regido por permisos, teniendo cada empleado permiso únicamente a la información estrictamente necesaria para realizar su trabajo.
Cultura de la privacidad
De nada sirve que una empresa se dote de estrictos protocolos de seguridad si los empleados que tratan los datos personales no tienen una cultura de la protección de datos. Por ello, los empleados deben recibir formación sobre cómo tratar y archivar los documentos en papel, cómo conservar la información en el ordenador, cómo hacer un uso seguro del correo electrónico o cómo detectar una violación de seguridad. El error humano se corrige con formación especializada en materia de protección de datos.
Minimiza la información
Las empresas deben tratar los datos que estrictamente necesiten para las finalidades perseguidas. Por ejemplo, si es necesario conocer el estado civil de los clientes, no se debe solicitar esa información.
Igualmente, los datos deben ser eliminados cuando ya no sea necesario su tratamiento y hayan prescrito las obligaciones legales de conservación. De esta manera, si un han pasado cinco años desde que un empleado fue despedido, no se debe conservar la información relativa a esta persona.
Copia de seguridad
Las empresas deben mantener al menos una copia de seguridad (siendo recomendable hasta dos copias) en un lugar seguro y distinto de donde esté guardada la copia original. Esta, es la única manera de garantizar la disponibilidad de la información cuando se pierde la información original, ya sea por un ataque externo, por un error, o por causas de fuerza mayor.
La copia de seguridad deberá estar actualizada, es decir, deberá realizarse con una frecuencia periódica. Además, se debe comprobar que se realiza correctamente, al menos una vez cada seis meses.
Para conocer todas las novedades del Reglamento (UE) 2016/679 y saber si tu empresa está verdaderamente adaptada a las nuevas exigencias del RGPD, lo mejor que puedes hacer es contratar los servicios de una empresa especializada en auditorías de protección de datos. Confía en profesionales con experiencia como los nuestros para adaptar los procedimientos de tu empresa a la nueva normativa.