El uso masivo de las tecnologías de la información y las telecomunicaciones (TIC), en todos los ámbitos de la Sociedad, ha creado un nuevo espacio, el ciberespacio, donde se pueden producir conflictos y amenazas que atentarán contra la seguridad y el normal funcionamiento de las comunicaciones.
Consecuentemente, la seguridad es importante para garantizar la protección de los datos personales y afecta a toda la cadena de gestión de la información y requiere que los usuarios de tratamiento de datos conozcan, dispongan y apliquen un gran conjunto de medidas organizativas y tecnológicas respecto el uso de los sistemas informáticos a su alcance, así como soportes o documentos en papel.
RECOMENDACIONES DE SEGURIDAD Y PROTECCIÓN DE LA INFORMACIÓN
A continuación, se realiza un recordatorio de las principales medidas de seguridad que se recomienda adoptar para garantizar la protección de datos y que afecta a toda la cadena de la información que incluyen medidas organizativas y tecnológicas:
| Uso del email corporativo
|
Se recuerda que su uso es estrictamente profesional y no se podrá utilizar para otro tipo de comunicaciones. |
| Envío de información que contenga categorías especiales de datos por correo electrónico
|
Se prohíbe utilizar el correo electrónico corporativo para enviar información de carácter personal relativa a categorías especiales de datos, si no se adoptan los mecanismos necesarios para conseguir que la información no sea inteligible ni manipulada por terceros. |
| Utilización de contraseñas y bloqueos de pantallas | Respetar las contraseñas y en el caso de tener que usar dispositivos personales para la realización del trabajo, que sea en una sesión propia y distinguida de la de otras personas. Además de utilizar bloqueos de pantalla con la finalidad de que no se pueda acceder a la información cuando no se esté al lado del ordenador. |
| Cifrado | Cifrar la información sensible tanto para su almacenamiento como para su envío para así reducir los riesgos que se produzcan violaciones de seguridad |
| Manipulación de archivos o ficheros
|
Sólo las personas autorizadas pueden introducir, modificar o suprimir los datos personales objeto de tratamiento conservados. |
| Copias de seguridad | Realizar copias de seguridad de la misma manera que en la sede, guardando la información en las carpetas de las que se tiene constancia de que se están realizando |
| Traslado de documentación | Prestar especial cuidado en el traslado de documentación en papel y en soportes como pendrives, que esté completa antes y después del trayecto. |
| Comunicación de incidencias de seguridad que afecten a los datos de carácter personal
|
Comunicar a la organización cualquier incidencia de seguridad que tenga conocimiento, sobre todo si afecta a datos personales. |
INCIDENTES DE SEGURIDAD
Los incidentes de seguridad a veces implican, además, una violación de seguridad de los datos personales. En el caso de que se detecte que han tenido lugar unas circunstancias, tanto técnicas como organizativas, que puedan poner en peligro la seguridad de los datos personales, se deben poner en marcha los procedimientos adecuados para solucionar la violación de seguridad.
En el caso de detectar una incidencia de seguridad de datos personales que pueda constituir una violación de seguridad de los datos personales, debe comunicarse esta circunstancia al/a la responsable de Protección de Datos y al/a la responsable de Sistemas en el caso de que afecte a datos automatizados. Asimismo, se debe informar de manera preceptiva al/a delegado/a de Protección de Datos, si se cuenta con uno.
Los responsables mencionados deberán actuar para tomar medidas para definir el alcance de la violación de seguridad, corregir lo que sea necesario y plantear las soluciones adecuadas.
El procedimiento que se deberá de seguir ante un incidente de seguridad es el siguiente:
- Detección de la violación de seguridad.
- Comunicación al/a la responsable de Protección de Datos / delegado/a de Protección de Datos.
- Valoración de la situación y reparación de la violación de seguridad.
- Notificación a la autoridad de control en materia de protección de datos. Comunicación a los interesados (si procede).