Medidas de seguridad LOPD
Es muy importante que se toman estas medidas de seguridad a la hora de tratar los datos.
Todas vienen incluidas en el Documento de Seguridad, pero te las resumo aquí para que sea más sencilla su comprensión y consulta.
CONTROL DE ACCESO
Hay que tener un control de las personas que acceden a los datos, por lo que se indicará todos los usuarios que tienen acceso y se mantendrá actualizada en todo momento..
Además, hay que asegurarse que se trabaja con proveedores y colaboradores que cumplen con la normativa de protección de datos.
Cuando se dé de baja a un usuario se indicará en el Registro de Incidencia, en el Anexo V.
PUESTO DE TRABAJO
Tanto tú como los colaboradores y trabajadores tenéis que tomar unas medidas en los dispositivos desde lo que se trabaja para proteger los datos que contienen.
- Si el ordenador lo utiliza más de una persona, crear usuarios distintos con acceso sólo a la documentación pertinente.
Por ejemplo, si trabajas desde tu casa, y el ordenador lo utilizan más miembros de tu familia, crea un usuario específico para tu trabajo donde se ubique toda la documentación del negocio y donde los demás miembros de la familia no tengan acceso. Igualmente, sólo se tendrá acceso al email del negocio desde este usuario.
- Cuando el puesto de trabajo se mantenga inactivo, por ejemplo, durante 5 minutos, se bloqueará automáticamente y habrá que acceder de nuevo introduciendo la contraseña.
- Cambio de contraseñas, como mínimo 1 vez al año., y serán complejas.
En definitiva, proteger que solo tú puedes acceder a los documentos y datos del negocio.
Portátiles y móviles – Cuando trabajemos en dispositivos que salgan del domicilio u oficina, debemos protegerlos con contraseña, y configurarlos para que se puedan borrar su contenido en remoto en caso de robo o pérdida.
Los antivirus permiten esta opción.
Si se puede acceder al email desde estos dispositivos ya hay que aplicar esta medida.
APLICACIONES – SOFTWARE
Las aplicaciones que se utilizan deben estar protegidas con usuario y contraseña que solo conocen las personas autorizadas.
Por ejemplo, acceso a la plataforma de email marketing, a la web, al programa de facturación, a Google Drive,…
Cada usuario solo tendrá acceso a los datos que necesite para el desempeño de sus funciones.
En el Anexo III se llevará un inventario de todas la aplicaciones y sistema informáticos utilizados y quién tiene acceso.
Desde el ordenador personal sólo se podrá acceder a estas aplicaciones desde tu usuario.
CONTROL DE LOS DISPOSITIVOS
Se tiene que llevar un control de los dispositivos donde se almacenan datos del negocio. Para ello en el Anexo II llevarás un inventario de los dispositivos que tendrán que actualizar cuando sea necesario, por ejemplo si cambias de portátil, de móvil, compras nuevo disco duro para hacer copias de seguridad,….
Si uno de estos dispositivos se pierde o lo roban, tendrán que registrarse como una incidencia en el Anexo V del Documento de Seguridad.
Los móviles, tablets,… deben tener limitado el acceso con bloqueo con contraseña, patrón o similar.
Se deben adoptar medidas para poder localizar el dispositivo o hacer un borrado remoto en caso de pérdidas o robo. Los antivirus de pago tienen esta opción.
GESTIÓN DE INCIDENCIAS
En caso de incidencia, seguir el procedimiento indicado en el Documento de Seguridad, y no olvides dejar constancia de la incidencia en el mismo, en el Anexo V.
Si hay incidencias que suelen repetirse, aumenta las medidas de seguridad para evitar que se repita, y déjalo indicado en el Documento de Seguridad. Así se demuestra a la AEPD que se toman todas las medidas necesarias, se hacen revisiones y te preocupas realmente de proteger los datos.
Tienes una lección donde te explico cómo notificar una brecha de seguridad.
TRATAMIENTOS
Se lleva un registro de todos los tratamientos de datos que se realizan para tener un mayor control, y se incluirán en el Anexo I del Documento de Seguridad.
Se tendrá que tener siempre actualizado.
TRATAMIENTOS EN PAPEL
Cuando se tenga documentación en papel, almacenar de forma segura, preferiblemente en armario bajo llave (pero no es obligatorio que estén bajo llave si no se están tratando datos sensibles).
No debe dejarse la documentación a la vista de terceras personas, por lo que deben archivarse adecuadamente al terminar la jornada laboral, y si se imprimen deben recogerse al momento.
ORIGEN DE LOS DATOS
Recoge los datos exclusivamente del propio interesado, no de bases públicas, e informándoles expresamente del tratamiento que se va a hacer a través de las coletillas legales.
CALIDAD DE LOS DATOS
Tienes que tener en cuenta que los datos que recojas tienen que reunir unos requisitos para cumplir con la protección de datos:
- Recoge los datos expresamente necesarios. Por ejemplo, comprar un curso online no necesitas que te den el número de teléfono, pero si lo que vendes es producto físicos, sí puedes pedirlo por si el repartidor tiene que ponerse en contacto al entregar el producto.
- Datos deben ser exactos y actualizados. Como provienen directamente del usuario o cliente se consideran exactos.
- Cancelación de datos y tiempo de conservación. Si ya no son clientes, pero se tienen que mantener los datos para cumplir con la ley fiscal (5 años) hay que guardarlos bloqueados, es decir en una carpeta protegida con contraseña.
PLAZO DE CONSERVACIÓN DE LOS DATOS
Hay datos que legalmente hay que conservar durante un tiempo determinado aún cuando yo no trabajamos con el cliente propietario de esos datos o ya no precisamos esos datos.
A continuación te indico los plazos para que los tengas en cuenta en la gestión del día a día de tu negocio:
No olvides establecer un sistema que borre a los suscriptores que no abren tus correos como máximo durante 1 año, pero puedes establecer un tiempo inferior, porque además beneficiará a tu negocio.
Igualmente elimina los emails de contactos transcurridos 6 meses desde que el usuario no ha vuelto a contactar (no lo dejes para siempre en tu bandeja de email).
GARANTIZAR LOS DERECHOS ARSO
Cuando te solicite algún usuario modificar, consultar, cancelar,… sus datos, no olvides que siempre debes responder, incluso en el caso que no tengas datos (no olvides anotarlo en el Documento de Seguridad).
Tienes una lección donde te hablo expresamente de los Derechos ARSO para que los tenga más claro.
CONEXIÓN A REDES TELEMÁTICAS
No se deben utilizar conexiones poco confiables, tales como conexiones Wi-Fi abiertas, redes públicas de hoteles, bibliotecas… Para ello, el INCIBE (Instituto Nacional de Ciberseguridad) recomienda implantar una política de uso de Wi-Fis y redes externas.
Una manera establecer una conexión segura a la red local de la empresa por medio de internet son las VPN (Virtual Private Network). Estas permiten extender la red local (LAN) sobre una red pública no segura como es Internet, haciendo que todo el tráfico generado mantenga la integridad y confidencialidad de la información y acceder a los recursos y servicios corporativos como si se estuviese físicamente en la empresa.
Otra manera de acceder a la información corporativa es la opción de usar la red móvil, como la usada por los smartphones o los módems USB (3G/4G/5G) mediante la creación de un punto de acceso wifi para compartir la conexión.
Desactivar las conexiones inalámbricas que no se estén utilizando (Wi-fi, Bluetooth o NFC).
COPIAS DE SEGURIDAD Y RESTAURACIÓN
Copias de seguridad 1 vez a la semana si ha habido cambios en la documentación de tu empresa.
También hacer copia de seguridad de nuestra base de datos en la herramienta de email marketing (permiten descargar la base de datos).
El fin de las copias de seguridad es poder reconstruir los datos en caso de pérdida o destrucción.
Si no se puede restablecer los datos, se anotará en el registro de incidencias.
CONTROLES PERIÓDICOS
Como máximo cada 3 meses se deberá comprobar que toda la información y medidas de seguridad son correctas y que los inventarios se mantienen actualizados, al igual que los usuarios con acceso a los datos.