Buenas prácticas de protección de datos para cualquier organización
El desarrollo de las nuevas tecnologías en las últimas décadas ha conllevado una verdadera amenaza para nuestra privacidad. Las redes sociales, el metaverso, el internet de las cosas y otros avances tecnológicos hacen que cada día más organizaciones tengan mayor información de los ciudadanos.
Para proteger el derecho a la privacidad de los ciudadanos se ha desarrollado la normativa de protección de datos: el Reglamento Europeo de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. Estas normas son de obligado cumplimiento para todas las organizaciones que gestionen datos personales de clientes, asociados, empleados, contactos, etc.
Teniendo en cuenta esta normativa, así como las recomendaciones de la Agencia Española de Protección de Datos, queremos dar a conocer las siguientes buenas prácticas que debe cumplir cualquier organización que trate datos personales:
Acceso restringido a la información
Es preciso que dentro de la organización, los empleados tengan acceso únicamente a los datos que precisen para el desempeño de su actividad. Así, el acceso al sistema informático deberá estar regido por permisos, teniendo cada empleado permiso únicamente a la información estrictamente necesaria para realizar su trabajo.
Cultura de la privacidad
De nada sirve que una empresa se dote de estrictos protocolos de seguridad si los empleados que tratan los datos personales no tienen una cultura de la protección de datos. Por ello, los empleados deben recibir formación sobre cómo tratar y archivar los documentos en papel, cómo conservar la información en el ordenador, cómo hacer un uso seguro del correo electrónico o cómo detectar una violación de seguridad. El error humano se corrige con formación especializada en materia de protección de datos.
Minimiza la información
Las empresas deben tratar los datos que estrictamente necesiten para las finalidades perseguidas. Por ejemplo, si es necesario conocer el estado civil de los clientes, no se debe solicitar esa información.
Igualmente, los datos deben ser eliminados cuando ya no sea necesario su tratamiento y hayan prescrito las obligaciones legales de conservación. De esta manera, si un han pasado cinco años desde que un empleado fue despedido, no se debe conservar la información relativa a esta persona.
Copia de seguridad
Las empresas deben mantener al menos una copia de seguridad (siendo recomendable hasta dos copias) en un lugar seguro y distinto de donde esté guardada la copia original. Esta, es la única manera de garantizar la disponibilidad de la información cuando se pierde la información original, ya sea por un ataque externo, por un error, o por causas de fuerza mayor.
La copia de seguridad deberá estar actualizada, es decir, deberá realizarse con una frecuencia periódica. Además, se debe comprobar que se realiza correctamente, al menos una vez cada seis meses.
Si aún no habéis adaptado vuestro negocio a la normativa de protección de datos, desde nuestro despacho contamos con profesionales cualificados en la materia que os asesorarán y ayudarán a cumplir con todos los requerimientos legales.