El servicio prestado consiste en adaptar el tratamiento de información del cliente al cumplimiento de la LOPD y su normativa de desarrollo, en RDLOPD.
En concreto, los trabajos a llevar a cabo por PRODATASUR se planifican inicialmente en las siguientes fases:
FASE 1.- ANALISIS DE LA SITUACIÓN ACTUAL DE LA EMPRESA Y TOMA DE DATOS
El consultor de PRODATASUR, una vez formalizado el contrato de prestación de servicio y con la correspondiente colaboración de la empresa, realizará un análisis de la situación actual y una toma de datos con la finalidad de recabar toda la información que posibilite realizar el trabajo de las siguientes fases, centrándose principalmente en:
- Cómo se lleva a cabo actualmente el tratamiento de datos en la empresa.
- Identificar los ficheros existentes o los conjuntos organizados de datos.
- Analizar el perfil de las personas, terceras empresas o profesionales que acceden y tratan los datos de carácter personal.
- Estudiar del tratamiento de datos que se lleva a cabo mediante sistemas informáticos.
- Identificar el proceso de archivo de los datos contenidos en soporte manual.
En esta fase se nombrará un responsable de seguridad cuya finalidad será la de mantener actualizado el documento de seguridad así como detectar posibles incidencias en el tratamiento de datos.
FASE 2.- INSCRIPCIÓN DE FICHEROS Y ELABORACIÓN DE DOCUMENTACIÓN
Esta fase se lleva a cabo por parte del Consultor en las oficinas de Prodatasur y consistirá en:
- Inscribir los ficheros identificados en el Registro General de Protección de Datos da la AEPD, (Art. 26.1 LOPD).
- Redactar las clausulas de información , adaptando los procesos de recogida de datos a la normativa vigente, articulando el consentimiento y en cumplimento del deber de información (Art. 5 LOPD y 18 , 19 RDLOPD).
- Redactar los preceptivos contratos de acceso a los datos titularidad del cliente por terceros (Art. 12 LOPD), así como los contratos de prestación de servicios sin acceso a datos de carácter personal.
- Redactar el Documento de Seguridad en el cual se reflejará las medidas de índole técnico-organizativas y jurídico-legales que la empresa debe cumplir (Art. 9.1 LOPD). Entre las medidas de seguridad exigidas para el cumplimiento del RDLOPD cabe destacar:
- Ámbito de aplicación del documento con especificación detallada de los recursos.
- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido, así como la definición de las Políticas de Seguridad de la empresa.
- Identificación de los elementos necesarios para asegurar a la red informática la inviolabilidad de sus sistemas motivadas por injerencias de terceros.
- Funciones y obligaciones del personal.
- Identificación del Responsable del fichero y del Responsable de seguridad.
- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
- Procedimiento de notificación, gestión y respuesta ante las incidencias.
- Procedimiento de realización de las copias de respaldo y de recuperación de los datos.
- Elaboración de un inventario de copias de seguridad.
- Mecanismo de identificación y autenticación de los usuarios para el acceso autorizado a los sistemas de información.
- Sistemas de contraseñas para el control de acceso a la información.
- Relación del personal autorizado para el acceso físico a los locales donde se encuentran ubicados los sistemas de información.
- Registro de entrada y salidas de soportes informáticos.
- Medidas de seguridad a adoptar en los sitios Web del cliente.
- Elaboración de un informe de recomendaciones para adaptar la página Web a la Ley Orgánica de Protección de Datos (LOPD) y la Ley Orgánica 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico. (LSSICE), así como las comunicaciones por correo electrónico.
FASE 3.- IMPLANTACIÓN
El consultor una vez finalizada la fase 2, facilitará a la empresa toda la documentación elaborada con la finalidad de que la misma lleve a cabo la implantación y desarrollo de las medidas propuestas.
FASE 4.- FORMACIÓN
En esta fase se procederá a gestionar la formación a los diversos intervinientes en el tratamiento:
- Formación del Responsable de Seguridad designado por la empresa, como encargado de coordinar y controlar el correcto cumplimiento de las medidas establecidas en el Documento de Seguridad, mediante la entrega de los correspondiente manuales de responsable de Seguridad.
- Formación de los Usuarios o Empleados de la entidad sobre el cumplimiento de la normativa en protección de datos, mediante la entrega de los correspondientes manuales de usuario.