Sistema de gestión de datos personales

La gestión de los datos personales dentro de cualquier estructura, ha de responden a una política corporativa que se comprometa a proteger y gestionar de forma eficaz esta información. Se puede considerar a esta gestión, un sistema dentro de la empresa interrelacionado siempre con otros que puedan existir: calidad, etc.

La estructura de un Sistema de Gestión de Datos Personales (SGDP), corresponde a estos elementos típicos:

  • Inventario de las bases de datos que incluyen datos personales. Sin un análisis previo de la información que la empresa dispone, es imposible valorar el alcance y la profundidad del SGDP. Es fundamental el adecuado inventario de esos tratamientos de datos y sus relaciones. (LOPD 15/1999, art 3 y RD 1720/2007, art 5)

  • Procedimientos de seguridad. La entidad debe determinar para cada una de las estructuras de datos, cuales son las medidas de seguridad más eficaces. Estas medidas deberán cubrir todos los aspectos de la vida útil de los datos: entradas, almacenamiento, gestión, cesiones y desecho. Cada una de estas fases tiene que estar claramente delimitada. (RD 1720/2007, Titulo VIII, Capitulo III)

  • Procedimientos organizativos. Las personas son el elemento de salvaguarda más importante en la gestión de un SGDP. Todos los aspectos del tratamiento de los datos, tienen que tener un responsable, aunque puede ser el mismo para todos, que defina claramente que perfiles de usuario tienen acceso, que defina que tipo de acceso, que límites tiene cada usuario, etc. Es la figura representada por el Responsable de Seguridad.(RD 1720/2007, Titulo VIII, Capitulo III)

  • Identificación y gestión de riesgos e incidencias. La gestión preventiva de la seguridad, estableciendo procedimientos y responsables para cada área de la gestión de la información, permitirá un mayor control y una disminución de las incidencias en el uso de estos datos. Pese a todo, las incidencias son inevitables. Por ello el procedimiento que gestione estas incidencias, debe ser claro y conocido por toda la estructura a fin de poder dar respuesta a las mismas en el menor tiempo posible, acotando la incidencia a una fase del tratamiento y evitando que el resto de procesos se vea afectado. (RD 1720/2007. art. 90)

  • Procedimientos de formación y concienciación. Como anteriormente comentaba, las personas son el principal recurso con el que cuenta un SGDP. Por ello, su adecuada formación en el uso de los datos y sus responsabilidad en ello, es fundamental. La entidad tiene que prever que el personal que tiene acceso y gestiona esta información, es consciente de la responsabilidad que asumen y de las consecuencias legales que supone un incidencia por mal uso de esta información

  • Procedimientos de respuestas de ejercicio de derecho. Los propietarios de los datos que la entidad gestiona, pueden en todo momento ejercer los derechos que les son propios para tener la certeza de que su información está siendo gestionada como corresponde. La organización tiene que disponer de los procedimientos adecuados para dar respuesta a estos ejercicios de derechos y tienen que ser conocidos por todas aquellas personas que vayan a estar en contacto directo con los propietarios de los datos. (RD 1720/2007, Titulo III, Capitulo 1)

Para comprobar que el SGDP está constantemente siendo mantenido es fundamental que la organización prevea un plan de seguimiento, al margen de las auditorías bienales que la norma marca. Estos planes de seguimiento, voluntarios aunque recomendables, deberán analizar en todo momento el estado de parte o todos los procesos implicados en la gestión de datos personales y deberán ofrecer a la entidad, la capacidad de reacción necesaria para corregir desviaciones o incidencias que se puedan estar produciendo, a fin de mantenerse correctamente alineada con lo previsto en la normativa vigente.

Como se puede ver, la gestión de datos personales, es mucho más complejo que la simple declaración de unos tratamientos de datos ante la Agencia de Protección de Datos y disponer de unos contratos y clausulados típicos.

Se trata de dotar de personalidad a la gestión de esos datos, convirtiéndola en un sistema concreto dentro de la gestión de la empresa y dotándolo de herramientas para el control de su eficacia.

Photo credit: Lars Plougmann via Foter.com / CC BY-SA

guest
1 Comentario
Inline Feedbacks
View all comments