 |
| Fuente de la imagen: pixabay |
En cuanto al tratamiento de datos, éste es definido por el conjunto de operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias (art. 3). En el texto “Cumplimiento Normativo y Protección de datos”[2] reflexionaba sobre que ese incumplimiento en la protección de datos de carácter personal, es un frente de prevención importante para el responsable de cumplimiento normativo en una empresa, tanto en los aspectos de cesión o comunicación de los datos, como en los derechos de los afectados o interesados y el tratamiento de las fuentes accesibles al público en general. Por todo lo anterior, un programa de cumplimiento normativo deberá contener aspectos tales como la prevención de contingencias en el flujo de los datos personales en la institución, evaluación de protocolos de protección de datos, velar por el cumplimiento estricto de la normativa aplicable, desde el aseguramiento de la privacidad de los sujetos hasta la inclusión de clausulas informativas en la distinta documentación que circula por la empresa[3].
Y en lo que a la seguridad informática se refiere, la defino como la sección del área de informática y telecomunicaciones de una empresa, grupo o corporación, que se encarga de la salvaguardia del hardware y el software tecnológico así como la información que circula o descansa en sus entrañas. Hace ya doce años, en el texto "La incertidumbre del navegante"[4], te escribía sobre los planes de contingencia en materia de seguridad informática, que incluyen procedimientos e información que permiten a la empresa la utilización de equipos, paquetes, instalaciones y suministros, recursos de Internet, así como la participación de personas, con el fin de poder funcionar con medios informáticos alternativos y estrategias de flujo de información también alternativas, en el caso de alguna incidencia importante y poder así reanudar las operaciones en un tiempo aceptable, de forma que se garantice la continuidad de los procesos de trabajo.
En "Compliance y Seguridad Informática"[5], abogaba porque un programa de cumplimiento normativo tuviera en cuenta las múltiples incidencias en materia de informática y telecomunicaciones en una empresa: virus, correo basura, cookies, sabotaje, robo, incendio, cortes importantes de energía eléctrica, inundaciones... No deben evaluarse sólo los riesgos inherentes a un desastre total que obligue a cerrar, también aquellos riesgos parciales como la pérdida de imagen ante clientes y empleados. Es necesario analizar los efectos de no poder utilizar los ordenadores en un plazo de segundos, minutos, horas, días...y prever sus soluciones. Según la incidencia, será necesario prever unas soluciones u otras, de distinto coste o nivel de sofisticación. La responsabilidad de la existencia de un plan de contingencia es de la cúpula directiva, pero la evaluación de dicho plan y la previsión de riesgos corresponde al responsable de cumplimiento normativo. Fuente de la imagen: pixabay.
___________________________
[1] El Legislador español entiende por datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables, por fichero al conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
[2] Velasco Carretero, Manuel. Cumplimiento Normativo y Protección de datos. Sitio Compliance. 2011. Visitado el 28/04/2016.
[3] Contratos, correos electrónicos, páginas webs…
[4] Velasco Carretero, Manuel. La incertidumbre del navegante. 2004. Sitio visitado el 28/04/2016.
[5] Velasco Carretero, Manuel. Cumplimiento Normativo y Protección de datos. Sitio Compliance. 2011. Visitado el 28/04/2016.