El régimen de medidas correctivas y sancionatorio de la Ley Orgánica de Protección de Datos Personales (LOPDP) entrará en vigor el 26 de mayo del 2023. ¿Qué significa esto? Que, para evitar sanciones, antes de esta fecha, deberá implementar dentro de su organización todas las medidas establecidas por la ley para garantizar el manejo adecuado y seguro de datos personales en el Ecuador.
Estas medidas son:
De acuerdo con la ley, la falta de implementación de medidas jurídicas, organizativas y técnicas se considera una infracción grave, por lo que los responsables del tratamiento de datos personales podrían ser sancionados con una multa de hasta el 1% del volumen de negocios correspondiente al ejercicio económico anterior.
La buena noticia es que aún está a tiempo y que, al implementar estas medidas a tiempo, obtendrán un reconocimiento por buenas prácticas por parte de la Autoridad de Protección de Datos Personales.
Medidas organizativas de protección de datos
Las medidas organizativas son aquellas que tienen un impacto en la estructura y la toma de decisiones para garantizar la reducción del riesgo de incumplimiento del LOPDP y demostrar la eficacia de la gestión de la protección de datos.
La ley deja toda la responsabilidad en manos de las organizaciones, quienes, con base en el principio de protección proactiva de los datos, no solo deben modificar los contratos con los proveedores o clientes, sino que deben implicar a TODA LA ORGANIZACIÓN: desde los altos directivos hasta el recepcionista, pasando por el técnico de sistemas y de recursos humanos. Para ello recomendamos aplicar el método Kaizen. También hay que tener en cuenta terceras partes interesadas, como proveedores, accionistas, etc.
Las medidas organizativas se despliegan en los proceso, políticas o programas internos de lo organización, así como en la capacitación y formación de los empleados. Estas medidas se afianzan y formalizan para mitigar los riesgos asociados al manejo de datos personales.
Estos son algunos ejemplos de medidas administrativas:
Formación del personal en materia de protección de datos de carácter personal, y formación en las aplicaciones implicadas en el tratamiento.
Uso y actualización de credenciales de acceso físico y lógico. Protocolo.
Copias de seguridad y respaldo. Protocolo.
Actualización y supresión de datos. Protocolo.
Registro de incidencias.
Registro de activos implicados en los tratamientos.
Dpd. Delegado de protección de datos.
Designación de un responsable de seguridad.
Realización periódica de auditorías.
Evaluación de impacto protección de datos.
Implantación de políticas de privacidad y protección de datos.
Uso correo electrónico
Uso de internet
Destrucción de documentos
Protección de contraseñas.
Medidas técnicas de protección de datos
Las medidas técnicas pueden definirse como las medidas y controles aplicados a los sistemas y a cualquier aspecto tecnológico de una organización, como los dispositivos, las redes y el hardware. La protección de estos aspectos es crucial para la seguridad de los datos personales y es la mejor línea de defensa contra las violaciones de datos.
He aquí algunas de las medidas técnicas más comunes que debe tener en cuenta:
Ciberseguridad: Este es un ámbito demasiado amplio para tratarlo en un solo artículo. En el nivel más básico, los cortafuegos, los escaneos de malware, la protección antivirus y la actualización del software cuando sea necesario son las medidas de seguridad técnica más comunes que deben aplicarse para salvaguardar los datos personales que se procesan contra los ciberataques.
Cifrado y seudonimización
Seguridad física: Medidas y protocolos sólidos para asegurar el acceso a cualquier oficina o edificio como, por ejemplo, alarmas de seguridad y registros de acceso.
Eliminación adecuada: La eliminación de papeles y dispositivos que contengan datos personales debe hacerse de forma que los datos personales no puedan ser recuperados por una persona no autorizada, ya sea de forma intencionada o no. Considere la posibilidad de triturar los documentos que ya no necesita y la eliminación segura de las bases de datos digitales y los dispositivos de hardware.
Contraseñas: La mayoría de las veces las contraseñas forman parte de la estrategia general de seguridad de la información. Además de contar con una política para establecer contraseñas seguras, asegúrese de que los documentos que contienen datos sensibles están protegidos por contraseña.
Derechos de acceso: Asegúrese de que el acceso a las bases de datos que contienen datos personales se concede en función de la necesidad de conocerlos y que no hay un acceso generalizado para todos los empleados. Esto es realmente para proveedores de servicios sanitarios.
Medidas Jurídicas de protección de datos
Son las medidas encaminas a asegurar el cumplimiento de la ley y normativa como, por ejemplo, la asignación de un responsable y delegado de tratamiento de datos. Puedes encontrar más información sobre este punto revisando este artículo.
Son muchas las cuestiones a considerar para implementar cada una de las disposiciones de la ley. Afortunadamente, en Meythaler & Zambrano contamos con la experiencia para brindar el apoyo y el acompañamiento necesario para empezar con pie derecho y obtener el reconocimiento por buenas prácticas.
Comments