La semana pasada tuve que repetir estas palabras hasta la saciedad seguramente porque, alguna de “estas empresas” que juegan con la interpretación de la LOPD y su Reglamento, se dedicó a hacer telemarketing sobre un sector concreto.
Si bien es cierto que, en el Artículo 89. Funciones y obligaciones del personal, del Reglamento de Desarrollo de la LOPD (Real Decreto 1720/2007), se establece la obligación por parte del Responsable del Fichero de informar al personal sobre “las medidas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento”, esto se puede llevar a cabo, entre otras muchas, de las siguientes formas;
• establecer las cláusulas pertinentes en el contrato laboral,
• anexar un documento explicativo de los extremos oportunos junto a la entrega de la nómina,
• realizar un mailing a todo el personal afectado,
• establecer un mensaje de advertencia previo al acceso a los sistemas,
• y por supuesto, con una acción formativa.
Dicho esto, todos hemos oído la frase (u otra similar); “la seguridad de una cadena la establece su eslabón más débil”, y en este caso, los usuarios suelen condicionar en gran medida la seguridad de “la cadena de la protección de datos”.
Es por ello que siempre establezco en todo proyecto de implantación de protección de datos realizar diversas acciones formativas orientadas a los distintos roles: Responsable de Seguridad, administrador de sistemas, usuarios, etc…, organizando el proyecto en las siguientes fases:
De esta forma garantizamos que todas las partes afectadas conozcan sus implicaciones y sean conscientes de las medidas de seguridad tanto técnicas como organizativas a las que deben dar cumplimiento, así como las tareas específicas que les han sido asignadas dentro de “la cadena de la protección de datos”.
En definitiva: formación y concienciación, SI, por imperativo legal, NO, sino por buenas prácticas.
No hay comentarios:
Publicar un comentario