Adicionalmente existe un Reglamento de medidas de seguridad para los ficheros que almacenen datos de carácter personal, por el que se clasifican los ficheros en tres niveles de seguridad y que exige el cumplimiento de unas medidas de seguridad específicas en función del nivel de seguridad de cada fichero.
En la actualidad todas las empresas deben de tener declarados y protegidos los ficheros que contengan datos de carácter personal, el incumplimiento de esta Ley puede tener consecuencias que impliquen sanciones desde 601 € hasta 601.012 €
La propuesta y metodología que ofrece SMARTEC, para la adaptación de los sistemas de información a la Ley Orgánica de Protección de Datos según la normativa indicada, es la siguiente:
I. Diagnóstico inicial.
Esta etapa se inicia con una reunión inicial del equipo consultor designado por SMARTEC y los representantes del cliente, con objeto de realizar una presentación del proyecto y la sistemática de trabajo así como conocer a los interlocutores designados por el cliente.
El equipo consultor de realizará un análisis de la situación del cliente con respecto a los requisitos de la actual normativa de protección de datos. Para ello el equipo de consultores, mantendrá distintas entrevistas con los distintos responsables del cliente con objeto de recabar información sobre los datos personales tratados y los sistemas de información que los gestionan.
Sobre la base de esta información, el equipo consultor realizará un inventario de los ficheros que contengan datos personales y el contenido de los mismos, determinándose el nivel de seguridad aplicable (básico, medio o alto), contrastándose, si existen, con anteriores declaraciones de ficheros que hubieran podido realizarse. Adicionalmente, se comprobarán las políticas de seguridad implantadas.
La información recogida servirá de base para la elaboración de la documentación posterior del sistema.
II. Elaboración de los documentos del Sistema de Seguridad.
En esta etapa se procederá a definir y documentar el Sistema de Seguridad de Protección de Datos, en función del nivel de seguridad que le sea de aplicación. Para ello se elaborará la siguiente documentación:
• Documento de Seguridad que incluirá, entre otros aspectos:
* Ámbito de aplicación.
* Definición de funciones y obligaciones del personal.
* Definición del Registro de incidencias.
* Normas de identificación de usuarios y control de accesos.
* Normas de gestión de soportes y copias de respaldo y seguridad.
* Implantación de las Medidas de Seguridad.
• Normas complementarias sobre la protección de la información confidencial de la empresa que circula por la red corporativa y la prevención de contenidos ilícitos y actividades no autorizadas.
• Elaboración de las normas complementarias para los usuarios de Internet y correo electrónico.
Adicionalmente, se elabora un Manual de Seguridad que incluirá los procedimientos específicos de la empresa en función de los sistemas con los que cuenta.
III. Adaptación de los controles internos al cumplimiento de la legislación de protección de datos.
En esta etapa se procederá a determinar las medidas correctoras necesarias para asegurar el cumplimiento de la Ley incluyendo:
• Adaptación de los ficheros que contengan datos personales, incluyendo su comunicación y/o modificación ante la Agencia de Protección de Datos (APD) y la solicitud de las autorizaciones necesarias para su regularización.
• Análisis de las operaciones que puedan constituir una cesión de datos personales.
• Revisión de los contratos, si existen, de cesión y adquisición de datos así como su modificación y/o nueva redacción en caso necesario.
• Asesoramiento sobre el ejercicio de los derechos de acceso de rectificación y cancelación por parte de los afectados y las obligaciones que derivan del ejercicio de tales derechos.
IV. Implantación del sistema de seguridad.
Una vez elaborados los documentos de seguridad y evaluados los sistemas de control interno, se entregarán al representante del cliente para su revisión y comentarios.
Los comentarios recibidos se analizarán y se incluirán, si procede, en el Manual de Seguridad que se entregará una vez corregido.
Adicionalmente a la documentación entregada para su revisión, SMARTEC facilitará, si procede, un informe de recomendaciones, que el cliente deberá implantar para adecuar sus sistemas a la LOPD.
Así mismo, el equipo consultor presentará los ficheros ante la Agencia de Protección de Datos entregando copia registrada con la entrada a la Agencia de Protección de Datos de los ficheros presentados al Responsable de Seguridad designado por el cliente.
Con la entrega de la edición definitiva, el equipo consultor impartirá la formación adecuada a los Responsables de Seguridad y Usuarios en la que informará sobre la aplicación del Sistema, de cara a su posterior implantación por el cliente en todos sus centros de trabajo.