Cómo asegurarse de que un proveedor cumple la LOPD

comprobar LOPDTodos somos conscientes que no hay prácticamente ni una empresa que no tenga externalizadas determinadas actividades, algunas o todas, del tipo confección de nóminas, mensajería, telemarketing, etc.

En muchos de estos casos tal relación implica necesariamente una entrega de datos personales para su gestión, y en ese caso la empresa responsable del fichero adquiere la obligación de verificar que esos datos van a ser tratados dentro del respeto a la LOPD por parte del tercero elegido para prestar el servicio. Y entonces ¿cómo podemos verificar el efectivo cumplimiento de la ley, teniendo en cuenta que en caso de un mal uso de la información podemos vernos salpicados por una posible infracción de ese tercero contratado?

Ante todo hay que indicar que el primer paso de esta verificación y cumplimiento es la firma de un contrato de prestación de servicios con acceso a datos personales, en los términos del artículo 12.2 de la LOPD. Es en este contrato donde se indicará que su empresa es responsable de un fichero que entrega al encargado del tratamiento para la realización de determinados trabajos.

Es fundamental que su empresa vele por que el encargado del tratamiento reúna las garantías necesarias para cumplir la LOPD.

En primer lugar se trata de un requisito legal de obligado cumplimento, pero además es también una cuestión de garantía sobre la integridad y buen uso de la información.

Para ello su empresa cuenta con un claro poder de supervisión sobre el encargado del tratamiento, estando legitimada para establecer controles que verifiquen el cumplimiento de las medidas de seguridad que se hayan establecido en el contrato mencionado. Para ello lo mejor es pactar la frecuencia y condiciones de estos controles con la empresa proveedora.

Además hay que recordar que en el caso de que se traten de datos personales a los que se exija el cumplimento de medidas de seguridad de nivel medio o alto, se debe someter a una auditoría cada dos años para verificar el cumplimiento efectivo de las medias exigidas.

Servicio de Delegado de Protección de Datos

Delegado Protección Datos  Ponga un Delegado de Protección de Datos en su empresa

El Delegado de Protección de Datos es una de 6 Novedades que traerá el Reglamento Europeo de Protección de Datos a la empresa.

En concreto el Artículo 35, Designación del delegado de protección de datos, señala que será de obligado nombramiento en los siguientes casos:

a) el tratamiento sea llevado a cabo por una autoridad u organismo públicos; o
b) el tratamiento sea llevado a cabo por una empresa que emplee a doscientas cincuenta personas o más; o
c) las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados.

Aunque el documento definitivo está aún pendiente de aprobación, probablemente no será muy diferente del texto propuesto.

Esta figura se conoce en el ámbito anglosajón como “Data Protection Officer” (DPO).

Entre sus características destaca el hecho de que deberá ser contratado por un plazo mínimo de 2 años.

En los casos de grupos de empresas se permite contar con un solo Delegado en Protección de Datos, que actuaría de forma común para todas las compañías.

Otra característica significativa es que su identidad y datos de contacto deben ser hechos públicos, y que esa información será uno de los derechos que asisten a las personas físicas cuando se recogen sus datos personales.

En Expansiónate hemos creado un servicio especializado en la materia destinado a aquellas empresas que pudieran considerar un gasto excesivo disponer de un Delegado de Protección de Datos de forma interna.

A través de este enlace encontrará toda la información necesaria para valorar nuestro servicio y ponerse en contacto con nuestro departamento de contratación:

¿Por qué contratar un Delegado de Protección de Datos a través de Expansiónate?

Recuerde que esperar al término de los plazos legales que se establezcan conllevará una adaptación compleja a causa de la gran cantidad de tareas que esta nueva figura debe asumir, comprobar y documentar, y a las particularidades operacionales y organizativas de cada compañía.

Tampoco es baladí tener en mente que la nueva normativa tiene previsto un régimen sancionador por incumplimiento que podría llegar hasta un 2% de la facturación anual.

Una incorporación a tiempo al organigrama de la compañía garantiza una adopción sin traumas y beneficiosa para toda la organización.

Nuevas guías sobre protección de datos

En el blog de ayuda sobre la ley de protección de datos se han publicado un repaso y el correspondiente enlace de descarga a las últimas guías oficiales publicadas en la materia.

Haz click en cada título para acceder al resumen y la descarga gratis.

Portada-Guía-sobre-cookiesGuía sobre el uso de cookies

De máxima actualidad por tratarse de una normativa nueva y aún no demasiado implantada (ni comprendida) en España. En colaboración con las asociaciones adigital, Autocontrol e IAB Spain.

 

Guias-ORIENTACIONES_Cloud-300x275Guía de orientaciones para prestadores de servicios de cloud computing

La tesis que con mayor reiteración defiende la AEPD a lo largo de la guía (especialmente a las grandes corporaciones que ofertan masivamente estos servicios y a quienes ofrecen contratos de adhesión cerrados y no negociables a sus potenciales clientes), es que en el caso de que los clientes/responsables del tratamiento de los datos personales estén sujetos a la ley española, entonces la relación jurídica con el prestador de servicios estará sometida a la Ley Orgánica de Protección de Datos de carácter personal (LOPD) y sus normas de desarrollo, sin que ésta pueda ser una cuestión de libre disposición para las partes, es decir, sin que pueda ser contractualmente modificada.

Guia_CloudGuía para clientes que contraten servicios de cloud computing

Además de las oportunas definiciones sobre qué es cloud computing, sus tipos, actores principales, modalidades de servicio, riesgos y por supuesto garantías contractuales, el documento aporta una interesante lista de puntos a repasar antes de contratar servicios en la nube.

Backup On Line: ¿Está a salvo toda la información de su empresa?

backup on lineLo que parecía imposible, en ocasiones ocurre, y entonces ya no se puede resolver. Estas eran las medidas de seguridad del Ayuntamiento de León en lo que se refiere a la custodia de información, tanto digital como en papel:

El denominado búnker informático, al que solamente se podía acceder por un sistema de “huella digital”, se encuentra situado en la sexta planta del Consistorio, frente por frente de los despachos habilitados para el equipo de gobierno municipal y allí se encuentran los servidores y los archivos. Los primeros, protegidos por el propio ‘búnker’ y los archivos, sobre el papel, incorporados en armarios ignífugos con una capacidad para soportar una temperatura de mil grados.

Y sin embargo hubo un incendio que superó todas las barreras y las consecuencias han sido graves:

La caída del sistema informático del Ayuntamiento de León a consecuencia del incendio que ha arrasado una parte del edificio municipal ha dejado a los empleados municipal si la ‘intranet’ y sin su página web. La primera supone a pérdida de trámites administrativos informatizados así como cuestiones de logística (desde el padrón hasta los avisos del 112 a Bomberos, por ejemplo), mientras que la segunda indice en cuestiones como la publicidad de normas y la actividad normal del Consistorio de cara al exterior.

Circunstancia agravada porque:

Desde hace “al menos seis meses”, según han confirmado este lunes a leonoticias.com fuentes municipales, las copias de seguridad de los sistemas informáticos no se traslaban al exterior del edificio municipal.

En resumen, un problema de calado que probablemente ralentice durante meses la actividad municipal hasta que de una forma u otra se pueda reconstruir la información.

Ahora analícelo: ¿podría su empresa soportar un impacto similar? Si a causa de un virus informático, un incendio o cualquier otra circunstancia perdiera de pronto toda la información empresarial ¿qué consecuencias tendría para su actividad al día siguiente?

La única opción para mantenerse totalmente a salvo de estos peligros es mantener una copia online en un servidor seguro. Los pendrive, DVD, discos duros externos, etc… se pierden o deterioran, y en especial, dependen de intervención humana (el eslabón más débil de cualquier cadena de seguridad) para realizar una copia de seguridad.

El servicio de Backup Online de copias de seguridad automatizadas que Expansiónate ofrece por un coste de apenas 10€ mensuales, permite 50 GB de espacio para la copia, y garantiza el adecuado nivel de seguridad y cumplimiento legal (LOPD) que una empresa necesita.

Su servicio de atención al cliente atiende en castellano desde España, y el nivel profesional de su equipo técnico permite que usted pueda concentrar su atención en el desarrollo de la empresa sin preocuparse por la integridad de su información.

Si desea más información sobre Backup Online no dude en ponerse en Contacto con nosotros.