Las fases de adecuación a la LOPD siguiendo nuestra metodología profesional son las siguientes:
A) Análisis de la Empresa y de sus sistemas de información:
Con carácter previo a cualquier adecuación de la LOPD es importante conocer la actividad a adecuar, ya sea con o sin ánimo de lucro, público o privado.
Igualmente resulta importante estudiar el ciclo de vida de los datos en dicha actividad. El ciclo incluye las fases de recogida, tratamiento, custodia y destrucción.
B) Identificación y registro de los ficheros ante la Agencia Española de Protección de Datos:
Los ficheros se declaran por finalidad teniendo en cuenta la actividad de la empresa, la finalidad de uso de los datos y su organigrama. Los ficheros se declararán, según el caso, con el nivel de medida de seguridad correspondiente: básico, medio y alto.
C) Redacción del Documento de Seguridad
Según el nivel de medida de seguridad declarado para los ficheros, procederemos a redactar un documento de seguridad donde se detallan de manera precisa todos los procedimientos técnicos y organizativos de control de datos personales, entre otros, la política de contraseñas, los criterios de archivo, los usuarios autorizados, el inventario de equipos, etc.
D) Cláusulas legales
Para cumplir con los principios de la LOPD en materia de información, consentimiento y calidad, es necesario revisar todos los modelos de trabajo del cliente e incorporar las cláusulas legales oportunas. Las más habituales afectan a los formularios de recogidas de datos, formularios web, correos electrónicos, etc.
E) Contratos con prestadores de servicios
La ley obliga a establecer contratos de confidencialidad con todos los proveedores de servicios que accedan a los datos personales bajo nuestra responsabilidad. Los contratos han de redactarse siguiendo los mismos niveles de seguridad que hayamos declarado para nuestros ficheros.
F) Entrega de documentación
Para facilitar el cumplimiento de la LOPD, hemos elaborado unas guías propias de implementación de la norma que acompañan al documento de seguridad y que son explicadas a nuestros clientes en el momento de la entrega de la documentación.
G) Formación
La correcta aplicación de la LOPD en las organizaciones, implica en muchos casos la realización de charlas divulgativas al personal para formarles sobre los principios básicos de la LOPD y las pautas principales a tener en cuenta en el día a día.
H) Visitas de control y actualización
La legislación en protección de datos obliga a todas las organizaciones a reflejar cualquier cambio significativo en nuevas versiones del documento de seguridad. Conviene en consecuencia, realizar una visita de control anual para verificar el nivel de cumplimiento de las obligaciones y los cambios organizativos, técnicos o humanos que se hayan producido.
I) Auditoría
Se ha de realizar, al menos cada dos años, es obligatorio para los ficheros de nivel medio o alto, y conviene que sea realizada de forma externa a la propia organización para asegurar la mayor objetividad posible.
J) Asesoramiento legal
Basta con leer el extracto de resoluciones de la Agencia Española de Protección de Datos, publicado en nuestra web, Protección Global, Cero Sanciones para darnos cuenta fácilmente de la importancia de disponer de un asesoramiento especializado externo continuo, para resolver dudas, ejercicios de derechos o posibles inspecciones.