Protocolos Esenciales para la Protección de Datos en la Empresa

Medidas para la protección de la información

Todas las empresas deben crear medidas de protección adicionales para la información que manejan. Dichas medidas se diferencian en función del soporte en el que se encuentra la información y de la sensibilidad de los datos.

A) Documentos escritos con datos no especialmente sensibles

Para la documentación en papel que no contiene datos de alta sensibilidad, se recomienda implementar las siguientes acciones:

• Crear un procedimiento claro y sencillo sobre su uso y manipulación.
• Establecer un sistema de seguridad basado en la protección mediante llaves. Además, se deben crear copias de seguridad de dicha documentación en un espacio físico distinto al del documento original.
• Elaborar un plan de actuación ante cualquier tipo de riesgo (incendio, inundación, robo, etc.).
• Nombrar a un responsable de seguridad del archivo físico.
• Establecer mecanismos de control y registro de acceso.
• Exigir secreto y confidencialidad a los trabajadores. Esto es lo que se denomina secreto profesional.

B) Soporte electrónico

La empresa depositaria de datos en formato electrónico debe fijar medidas de protección adicionales a las establecidas para la documentación escrita:

• Realizar copias de seguridad con una frecuencia determinada.
• Establecer accesos restringidos en función de los distintos tipos de usuarios y sus responsabilidades.
• En determinados archivos, solo debe permitirse su lectura y no su modificación para garantizar su integridad.
• Es muy recomendable instalar en todos los equipos informáticos un software antivirus para protegerlos de posibles amenazas.
• Para el correo electrónico, usar programas de cifrado y encriptación. Estas medidas también deben aplicarse a la documentación con información muy sensible.

C) Datos personales y confidenciales en cualquier soporte

Tanto en soporte escrito como informático, cuando se manejan datos personales y confidenciales, su nivel de seguridad debe ser especialmente elevado:

1. La documentación que contenga información de carácter personal debe almacenarse en archivos con mecanismos que dificulten el acceso a personal no autorizado.
2. Para datos relativos a niveles de ingresos, datos financieros, multas o antecedentes penales, se debe desarrollar una auditoría de seguridad de datos con una periodicidad no superior a dos años.
3. En documentación con datos relativos a investigaciones policiales, ideología, afiliación sindical, creencias, salud u orientación sexual, se establece, adicionalmente a las medidas anteriores, un acceso restringido con llave al archivo físico o sistemas de control de acceso equivalentes en el ámbito digital.

Aplicación de la Ley de Protección de Datos (Ley Orgánica 15/99)

En el caso de contener datos personales, y dado que se puede obtener mucha información útil para la actividad empresarial, la legislación establece límites al acceso y cesión de uso de dicha información.

La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, es de aplicación a toda empresa con archivos en España, independientemente de si esta es nacional o extranjera.

Toda empresa o empresario que trabaje con datos personales estará obligado a cumplir con una serie de aspectos relativos a la protección de datos:

• Deberá notificar a la Agencia Española de Protección de Datos los ficheros de datos personales que posea y las aplicaciones informáticas que utilice para su gestión. Para ello, utilizará el sistema telemático NOTA, informando sobre la finalidad y estructura del fichero, los tipos de datos manejados, su ubicación y el procedimiento de obtención.
• Deberá redactar un documento de