Anterior Lección

Cómo rellenar el manual de procedimiento RGPD

Cómo rellenar el manual de procedimiento RGPD

 

Una vez que tenemos redactado el Registro de tratamiento de datos (Anexo I) y el Análisis de Riesgo y la Evaluación de Impacto (punto 2), vamos a redactar el resto del Documento de Seguridad.

 

Vamos apartado por apartado.

 

1. ÁMBITO DE APLICACIONES DEL DOCUMENTO

Ya lo tienes completado si no has olvidado adaptar a tu negocio el listado del tratamiento de datos.

Se indica que en el Anexo I se detalla cada uno de ellos, es decir, el registro de tratamiento de datos que ya has redactado.

En el Anexo III indicarás los hardware que utilizas, pero ya llegaremos a ese punto.

 

2. ANÁLISIS DE RIESGO Y EVALUACIÓN DE IMPACTO

Ya lo tienes redactado, así que pasamos al siente apartado 😉

 

3. DEBER DE INFORMAR Y CONSENTIMIENTO

En este apartado indicarás todos los formularios donde se recogen los datos, la leyenda informativa que incluyes en cada uno de ellos y hazle un pantallazo para poder probar que realmente es así.

 

Te pongo un ejemplo:

 

Lo mismo con las coletillas legales que incluyes en los emails, newsletter, presupuesto, facturas,…. y el apartado de protección de datos del contrato que firmas con tus clientes.

 

El apartado en el contrato tienes que adaptarlo a tu caso en concreto, pues incluye herramientas que a lo mejor no utilices. Específica las que tú incluyes con tus clientes.

 

Si no tienes alguno de los formularios que se indica o no firmas contrato con tus clientes, elimina en el Documento de Seguridad el párrafo del formulario que no tengas.

 

4. MEDIDAS DE SEGURIDAD

En este apartado es donde vas a establecer las medidas de seguridad que aplicas en tu negocio para proteger los datos.

 

Si aplicas medidas extras, añadelas al documento.

 

CONTROL DE ACCESO

Es importante llevar el control de las personas que tienen acceso a los datos, por lo que vamos a llevar el listado de estas personas y los datos a los que tienen acceso.

En primer lugar te pones a ti, y seguidamente los demás usuarios, por ejemplo el asistente virtual, quien te lleva las campañas de facebook Ads, el webmaster….. (si son trabajadores, no profesionales a los que has contratado sus servicios).

Añade los que sean necesarios.

 

 

Además indicarás la lista de los proveedores con los que trabajas.

En el documento tienes los más comunes. Elimina con los que no trabajes y añade los que sea necesario.

 

En el Anexo II, vas a incluir sus acuerdos firmados, pero ya llegaremos a ese punto.

 

PUESTOS DE TRABAJO

Establece las medidas de seguridad que los usuarios deben tener en su puesto de trabajo:

  • contraseña
  • bloqueo del ordenador cuando no se use,
  • configuración de varios perfiles en el ordenador si se utilizan por más de una persona
  • no conectarse a redes públicas

 

APLICACIONES – SOFTWARE

Medidas para proteger el acceso a las aplicaciones.

 

GESTIÓN DE INCIDENCIAS

Actuar ante una incidencias a también tomar medidas de seguridad, por lo que se indica cómo se debe actuar.

 

TRATAMIENTOS

Se lleva un control de los tratamiento de datos que se realizan.

 

ORIGEN DE LOS DATOS

Establece  de dónde y de qué forma se recaban los datos, siempre con el consentimiento del interesado,

 

CALIDAD DE LOS DATOS

Los datos deben mantenerse actualizados y ser correctos.

 

CONSERVACIÓN DE LOS DATOS DURANTE EL TIEMPO NECESARIO

Los datos deben conservarse durante el tiempo expresamente necesario.

Por ejemplo, 

  • establece un sistema para que tu herramienta de email marketing elimine los suscriptores que no abren tus newsletter en los últimos 6 meses. Puede ser en 1 año como se indica en el Documento de Seguridad, pero te recomiendo que sea 6 meses, así tendrás una lista más saneada. Modifícalo si es decides establecer 6 meses.
  • elimina los emails que recibes pasados 6 meses desde la última conversación, no los deje en la bandeja de entrada eternamente.
  • las solicitudes de presupuesto elimínalas pasado el año.
  • los clientes durante 5 años

 

TRATAMIENTOS TEMPORALES

Serán borrados una vez que ya no sean utilizados.

No olvides vaciar la Papelera de reciclaje de tu ordenador.

 

GESTIÓN DE SOPORTES

Se llevará un control de los soportes informáticos en los que se almacenen datos: ordenadores, portátiles, pendrive, discos duros externos, usb,… y se incluirán en el Anexo II.

 

TRATAMIENTOS EN PAPEL

Debe protegerse igualmente la documentación en papel.  Si no tienes, puedes eliminar este apartado.

 

ENTRADA Y SALIDA DE DATOS POR REDES TELEMÁTICAS

Se controlará el uso del correo electrónico para transmitir los datos.

 

COPIAS DE SEGURIDAD Y RESTAURACIÓN

Se harán copias de seguridad que permitan restaurar los datos al estado original en caso de pérdida o robo.         

Si es necesario restaurar una copia se registrará en el Libro Registro de Incidencias.

 

CONTROLES PERIÓDICOS

Hay que controlar todo el procedimiento periódicamente para comprobar que funciona correctamente y los datos están protegidos.

 

5. PROCEDIMIENTOS

En este apartado es donde vas a indicar cada uno de los procedimientos para:

  • Recoger datos
  • Gestión de personal autorizado
  • Gestión de soportes y documentos
  • Copias de seguridad
  • Gestión de incidencias – brechas de seguridad
  • Atención de derechos del interesado – Derechos ARSO

 

Es muy importante responder a la petición de un usuario sobre sus datos (derechos ARSO) y dejar constancia de la petición en el Anexo IV. Cuando lleguemos a esa parte te lo explicaré,

 

Personalízalo según las necesidades de tu negocio. Y para cualquier duda que tengas deja abajo tu comentario 😉

 

6. PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL. FUNCIONES DEL PERSONAL

En este apartado es donde se indica cómo debe actuar. Son las instrucciones que aparecen en el Manual de usuario, por si lo has modificado, copia aquí el nuevo texto.

 

7. PROCEDIMIENTO DE REVISIÓN Y CONTROL

En este apartado es donde se indica los casos en los que se revisará este Documento de Seguridad.

 

8. CONSECUENCIAS AL INCUMPLIMIENTO DEL PROCEDIMIENTO DE SEGURIDAD

Se establece que el incumplimiento de este procedimiento de seguridad es una falta muy grave.

 

 

ANEXO I – REGISTRO DE TRATAMIENTO DE DATOS

Ya lo tienes redactado, así que pasamos al siente anexo 😉

 

 

ANEXO II – ACUERDOS DE ENCARGADO DE TRATAMIENTO

En este anexo es donde vas a incluir los acuerdos de encargados de tratamientos de datos que has firmado con tus proveedores.

Ve haciendo pantallazo de cada una de las páginas y ve copiándolas.

 

 

ANEXO III – APLICACIONES Y SISTEMAS INFORMÁTICOS UTILIZADOS

En este anexo es donde indicarás todas las herramientas que utilizas en la gestión de tu trabajo, y qué datos y documentación tratas en cada uno de ellos.

Por ejemplo:

  • Google Drive
  • Dropbox
  • Gmail
  • Trello
  • Asana
  • Slack
  • WhatsApp

 

Además, indica los dispositivos con los que trabajas, especificando el modelo exacto:

  • Ordenador de sobremesa, indicando el sistema operativo que se utiliza y el antivirus
  • Portátil, indicando el sistema operativo que se utiliza y el antivirus.
  • Móvil (si tienes acceso al email de trabajo y a la nube donde almacenas información). Indicar el antivirus que se utiliza.
  • Impresora y Scanners
  • Unidades de Copias de Seguridad: disco duro externos, usb,…
  • Firewall que se utiliza
  • Router

Si cambias algunos de ellos, tienes que actualizar el documento.

 

 

ANEXO IV – PETICIONES DERECHOS ARSO

En este anexo es donde vas a indicar cada una de las solicitudes para dar de baja los datos, modificarlos, etc…. especifica el día, lo que se pide y cómo se actúa.

 

Por ejemplo, un suscriptor te escribe diciendo que no quiere recibir más correos. Aunque tiene la opción de desuscribirse en cada newsletter, tienes que responderle y si le das tú directamente de baja mejor, y así se lo indicas también, que ya le has dado de baja.

 

Mi recomendación cuando respondas a estos emails es que pongas en copia la dirección certificado@safestamper.com, para recibir un certificado del email al que respondes y tu respuesta.

Recibirás el certificado en un pdf por email. Guárdalo en tu ordenador, y haz pantallazo incluyéndolo en este anexo.

 

ANEXO V – BRECHAS DE SEGURIDAD

Siguiendo la plantilla que se incluye, aquí es donde indicarás todas las brechas de seguridad que se produzcan. Por ejemplo, la pérdida de un dispositivo, el borrado de datos, el filtrado de tu base de datos,…

 

No olvides rellenar todos los datos que se indican.

 

ANEXO VI – RESPUESTA AL ENVÍO DE UN CV

En el caso de que te envíen curriculum, esta será la respuesta que tienes que enviar. Por supuesto puedes adaptarla al tono al tono de tu marca.

 

_________________

 

Y ya tendrías listo tu Manual de procedimiento RGPD. Ahora solo tienes que mantenerlo actualizado siempre que haya un cambio en el negocio.

 

Pero además, tenemos que poder probar que lo hemos mantenido actualizado, que no nos hemos puesto a actualizarlo porque nos ha informado que nos van a realizar una inspección.

 

Para probar que se mantiene actualizado , cada vez que lo modifiques, guárdalo como un pdf con fecha y tu firma, y ​​conserva todos estos pdf.

 

Aquí tienes las instrucciones para firmarlo con tu certificado digital: https://www.sede.fnmt.gob.es/documents/10445900/10528353/Firmar_documento_PDF_Adobe_Acrobat_Reader_DC.pdf

 

El word te va a servir para la siguiente modificación que tengas que hacer.

 

 

Anterior Lección
Back to
error: Content is protected !!