Asesor proteccion datos Malaga

Hay algo que me resulta curioso en mi trabajo y es que la mayor parte de mis clientes están convencidos de que yo tengo que ir a su despacho u oficina para ver sus instalaciones y, sobre todo, sus equipos informáticos.

Esta es una frase habitual que me dirigen:

– “Pues entonces vamos a quedar un día para que puedas venir a mirarme el ordenador y el despacho, para lo de la LOPD”.

Sinceramente, a mi no me importa en absoluto ir a tu oficina a ver tus ordenadores y tus instalaciones. Los ordenadores me gustan poco y me parece todos iguales, salvo los Mac, que son bastante decorativos. Sobre tu oficina, bueno, de decoración en general entiendo bastante poco y para mí los mejores adornos son los que no existen. Soy mini minimalista.

Es más, me gusta atender a mis clientes en su sede y lo más normal es que yo misma te proponga tener la reunión allí.

Pero lo único cierto es que en el 98% de los casos, para adaptarte a la LOPD no me hace falta ni ver tus equipos informáticos ni tus instalaciones. Bastará con que me respondas a algunas preguntas puntuales sobre unos y otras y poco más en lo que se refiere a esa cuestión.

También es verdad que en empresas grandes y de cierta complejidad, me ha resultado necesario hacer un examen presencial, para aclarar dudas y analizar información, y sobre todo es una parte importante a la hora de construir un SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, y más aún si buscas obtener una certificación de ISO 27001.

Aparte de esos supuestos, no será necesario mi examen in situ, como dirían esos romanos.

La forma en que la normativa sobre protección de datos afecta a tus ordenadores (u otros dispositivos como PDAs, Iphones, Tablets, etc…) y a tus instalaciones es obligándote a implantar en ellos ciertas medidas de seguridad, en función del tipo de información más o menos sensible que manejes.

Esas medidas que has de implantar son las relacionadas en los artículos 89 y siguientes del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal.

A nivel de ordenadores y similares, estamos hablando de medidas, como por ejemplo, tener usuario y contraseña, gestionando debidamente los permisos de quienes acceden a la información; hacer copias de seguridad al menos una vez por semana; inventariar estos soportes automatizados; cifrar la información de los dispositivos portátiles cuando sean trasladados…

A nivel de instalaciones, las medidas pueden ser, entre otras, las siguientes: crear zonas de acceso restringido para alojar los equipos que contengan la información y documentación; establecer –siempre que sea posible- mecanismos que dificulten la apertura de los muebles y/o habitaciones donde se guarden los documentos…

Para hacer una evaluación y poder adaptarte correctamente a la LOPD, me interesaré por estas cuestiones, como debe ser. Pero de ahí a que sea imprescindible que yo realice un examen de tus instalaciones y equipos informáticos, hay ciertas diferencias. Otro mito más, en fin, que puedes descartar.

Pero por supuesto, que yo no vaya a visitarte, no quiere decir que no tengas que adoptar las medidas de seguridad reglamentarias. Mi obligación es documentarte, asesorarte y decirte qué tienes que hacer, así como gestionar ciertos trámites en tu nombre si así me lo solicitas.

Otra cosa es que me encargues una auditoría. En ese caso -y sobre todo si no te conozco previamente ni te he hecho la adaptación a la LOPD con anterioridad- sí que insistiré en comprobar sobre el terreno lo que me dices que has hecho, puesto que yo como auditora, he de recogerlo en mis observaciones y en la propuesta de informe.

Y eso sí, como te estarás imaginando, quien más se interesará del mundo en comprobar in situ estas cosas, será un inspector de la Agencia de Protección de Datos, en el caso de que tengas una inspección, que más te vale no tener.

 

 

 

 

Deja un comentario