Seminario impartido en el Ilustre Colegio de Abogados de Málaga sobre implantación de la Ley Orgánica de Protección de Datos Personales en el despacho de abogacía.
1. La implantación de la Ley Orgánica de
Protección de Datos en los despachos
de abogados
2. ¡Hola!
Pedro José De La Torre
Rodríguez
• Fundador de INDALICS.
• Perito informático y
consultor colegiado.
• Master en Desarrollo de
Software.
• Master en Gestión de la
Innovación.
• EMBA Dirección General –
ESIC.
• ITI Sistemas UAL (2005).
• Decano del Colegio
Profesional de Ingenieros
Técnicos en Informática de
Andalucía.
3. QUÉ VAMOS A VER
• Fundamentos prácticos y
legales de la protección de
datos personales en
España.
• Mecanismos de
cumplimiento de la LOPD
a implantar en el
despacho.
• Buenas prácticas.
5. Legislación
• Ley Orgánica de Protección de Datos (15/1999)
• Reglamento de desarrollo de la LOPD (R.D. 1720/2007)
• Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a
la protección de las personas físicas en lo relativo al tratamiento de
datos personales.
• Ley 34/2002 de Servicios de Sociedad de la Información
• Autoridad competente: Agencia Española de Protección de Datos
(AEPD)
6. Objetivos perseguidos
Garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades
públicas y los derechos fundamentales de las
personas físicas, y especialmente de su honor e
intimidad personal y familiar
11. Responsabilidad activa
Las empresas deben adoptar medidas que aseguren razonablemente
que están en condiciones de cumplir con los principios, derechos y
garantías que establece la normativa.
12. Consentimiento
El tratamiento de los datos de carácter personal requerirá el
consentimiento inequívoco del afectado o una clara acción
afirmativa por parte de dicha persona.
13. Calidad de los datos
• Los datos de carácter personal objeto de tratamiento no podrán usarse
para finalidades incompatibles con aquellas para las que los datos
hubieran sido recogidos. No se considerará incompatible el tratamiento
posterior de éstos con fines históricos, estadísticos o científicos.
• Los datos de carácter personal sólo se podrán recoger para su
tratamiento, así como someterlos a dicho tratamiento, cuando sean
adecuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.
• Los datos de carácter personal serán cancelados cuando hayan dejado
de ser necesarios o pertinentes para la finalidad para la cual hubieran
sido recabados o registrados.
14. Deber de secreto
• El responsable del fichero y quienes intervengan en cualquier fase del
tratamiento de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones con
el titular del fichero o, en su caso, con el responsable del mismo.
15. Comunicación de datos
• Los datos de carácter personal objeto del tratamiento sólo podrán ser
comunicados a un tercero para el cumplimiento de fines directamente
relacionados con las funciones legítimas del cedente y del cesionario
con el previo consentimiento del interesado.
• Será nulo el consentimiento para la comunicación de los datos de
carácter personal a un tercero, cuando la información que se facilite al
interesado no le permita conocer la finalidad a que destinarán los datos
cuya comunicación se autoriza o el tipo de actividad de aquel a quien se
pretenden comunicar.
• El consentimiento para la comunicación de los datos de carácter
personal tiene también un carácter de revocable.
• Si la comunicación se efectúa previo procedimiento de disociación, no
será aplicable lo establecido en los apartados anteriores.
16. Acceso a los datos por cuenta de
terceros
• No se considerará comunicación de datos el acceso de un tercero a los
datos cuando dicho acceso sea necesario para la prestación de un
servicio al responsable del tratamiento.
• La realización de tratamientos por cuenta de terceros deberá estar
regulada en un contrato que deberá constar por escrito o en alguna otra
forma que permita acreditar su celebración y contenido, estableciéndose
expresamente que el encargado del tratamiento únicamente tratará los
datos conforme a las instrucciones del responsable del tratamiento, que
no los aplicará o utilizará con fin distinto al que figure en dicho contrato,
ni los comunicará, ni siquiera para su conservación, a otras personas.
En el contrato se estipularán, asimismo, las medidas de seguridad que el
encargado del tratamiento está obligado a implementar.
17. Derecho de información
• Los interesados a los que se soliciten datos personales deberán ser
previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destinatarios de
la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas
que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.
18. Derecho de acceso
• El interesado tendrá derecho a solicitar y obtener gratuitamente
información de sus datos de carácter personal sometidos a tratamiento,
el origen de dichos datos, así como las comunicaciones realizadas o que
se prevén hacer de los mismos.
• El derecho de acceso sólo podrá ser ejercitado a intervalos no inferiores
a doce meses, salvo que el interesado acredite un interés legítimo al
efecto, en cuyo caso podrán ejercitarlo antes.
19. Derecho de rectificación y
cancelación
• El responsable del tratamiento tendrá la obligación de hacer efectivo el
derecho de rectificación o cancelación del interesado en el plazo de diez
días.
• La cancelación dará lugar al bloqueo de los datos, conservándose
únicamente a disposición de las Administraciones públicas, Jueces y
Tribunales, para la atención de las posibles responsabilidades nacidas
del tratamiento, durante el plazo de prescripción de éstas. Cumplido el
citado plazo deberá procederse a la supresión.
20. Derecho al olvido
Derecho que tienen los ciudadanos a que los datos
personales sean suprimidos cuando, entre otros, ya no sean
necesarios para la finalidad con la que fueron recogidos, se
haya retirado el consentimiento o se hayan recogido de
forma ilícita.
21. Derecho a la portabilidad
Derecho a que el interesado que haya proporcionado sus
datos a un responsable que los esté tratando de modo
automatizado pueda solicitar recuperar esos datos en un
formato que le permita su traslado a otro responsable.
23. Documento de seguridad
El documento de seguridad contiene todas las normas y procedimientos
implantados en el despacho a fin de dar cumplimiento a la normativa en
materia de protección de datos personales.
24. Ficheros de datos
Tienen que quedar recogidos todos los ficheros de datos del despacho,
su naturaleza, fines y tipología.
25. Ficheros automatizados: seguridad
básica
• Las funciones y obligaciones de cada uno de los usuarios o perfiles de
usuarios con acceso a los datos de carácter personal y a los sistemas de
información estarán claramente definidas y documentadas en el
documento de seguridad. También se definirán las funciones de control
o autorizaciones delegadas por el responsable del fichero o tratamiento.
• Deberá existir un procedimiento de notificación y gestión de las
incidencias que afecten a los datos de carácter personal y establecer un
registro en el que se haga constar el tipo de incidencia, el momento en
que se ha producido, o en su caso, detectado, la persona que realiza la
notificación, a quién se le comunica, los efectos que se hubieran
derivado de la misma y las medidas correctoras aplicadas.
• Los usuarios tendrán acceso únicamente a aquellos recursos que
precisen para el desarrollo de sus funciones.
26. Ficheros automatizados: seguridad
básica
• El responsable del fichero establecerá mecanismos para evitar que un
usuario pueda acceder a recursos con derechos distintos de los
autorizados. Exclusivamente el personal autorizado para ello en el
documento de seguridad podrá conceder, alterar o anular el acceso
autorizado sobre los recursos, conforme a los criterios establecidos por el
responsable del fichero.
• Los soportes y documentos que contengan datos de carácter personal
deberán permitir identificar el tipo de información que contienen, ser
inventariados y solo deberán ser accesibles por el personal autorizado
para ello en el documento de seguridad.
• La salida de soportes y documentos que contengan datos de carácter
personal, incluidos los comprendidos y/o anejos a un correo electrónico,
fuera de los locales bajo el control del responsable del fichero o
tratamiento deberá ser autorizada por el responsable del fichero o
encontrarse debidamente autorizada en el documento de seguridad.
27. Ficheros automatizados: seguridad
básica
• En el traslado de la documentación se adoptarán las medidas dirigidas a
evitar la sustracción, pérdida o acceso indebido a la información durante
su transporte.
• El responsable del fichero o tratamiento deberá adoptar las medidas que
garanticen la correcta identificación y autenticación de los usuarios.
• El responsable del fichero o tratamiento establecerá un mecanismo que
permita la identificación de forma inequívoca y personalizada de todo
aquel usuario que intente acceder al sistema de información y la
verificación de que está autorizado.
• Cuando el mecanismo de autenticación se base en la existencia de
contraseñas existirá un procedimiento de asignación, distribución y
almacenamiento que garantice su confidencialidad e integridad.
• El documento de seguridad establecerá la periodicidad, que en ningún
caso será superior a un año, con la que tienen que ser cambiadas las
contraseñas.
28. Ficheros automatizados: seguridad
básica
• Deberán establecerse procedimientos de actuación para la realización
como mínimo semanal de copias de respaldo, salvo que en dicho
período no se hubiera producido ninguna actualización de los datos.
• Asimismo, se establecerán procedimientos para la recuperación de los
datos que garanticen en todo momento su reconstrucción en el estado
en que se encontraban al tiempo de producirse la pérdida o destrucción.
• Las pruebas anteriores a la implantación o modificación de los sistemas
de información que traten ficheros con datos de carácter personal no se
realizarán con datos reales, salvo que se asegure el nivel de seguridad
correspondiente al tratamiento realizado y se anote su realización en el
documento de seguridad.
29. Ficheros automatizados: seguridad
media
• En el documento de seguridad deberán designarse uno o varios
responsables de seguridad encargados de coordinar y controlar las
medidas definidas en el mismo. Esta designación puede ser única para
todos los ficheros o tratamientos de datos de carácter personal o
diferenciada según los sistemas de tratamiento utilizados, circunstancia
que deberá hacerse constar claramente en el documento de seguridad.
• A partir del nivel medio los sistemas de información e instalaciones de
tratamiento y almacenamiento de datos se someterán, al menos cada dos
años, a una auditoría interna o externa que verifique el cumplimiento.
• Deberá establecerse un sistema de registro de entrada de soportes que
permita, directa o indirectamente, conocer el tipo de documento o
soporte, la fecha y hora, el emisor, el número de documentos o soportes
incluidos en el envío, el tipo de información que contienen, la forma de
envío y la persona responsable de la recepción que deberá estar
debidamente autorizada.
30. Ficheros automatizados: seguridad
media
• Igualmente, se dispondrá de un sistema de registro de salida de
soportes que permita, directa o indirectamente, conocer el tipo de
documento o soporte, la fecha y hora, el destinatario, el número de
documentos o soportes incluidos en el envío, el tipo de información que
contienen, la forma de envío y la persona responsable de la entrega que
deberá estar debidamente autorizada.
• El responsable del fichero o tratamiento establecerá un mecanismo que
limite la posibilidad de intentar reiteradamente el acceso no autorizado al
sistema de información.
• Exclusivamente el personal autorizado en el documento de seguridad
podrá tener acceso a los lugares donde se hallen instalados los equipos
físicos que den soporte a los sistemas de información.
31. Ficheros automatizados: seguridad
media
• En el registro deberán consignarse, además, los procedimientos
realizados de recuperación de los datos, indicando la persona que
ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha
sido necesario grabar manualmente en el proceso de recuperación.
• Será necesaria la autorización del responsable del fichero para la
ejecución de los procedimientos de recuperación de los datos.
• La distribución de los soportes que contengan datos de carácter
personal se realizará cifrando dichos datos o bien utilizando otro
mecanismo que garantice que dicha información no sea accesible o
manipulada durante su transporte.
• Deberá conservarse una copia de respaldo de los datos y de los
procedimientos de recuperación de los mismos en un lugar diferente de
aquel en que se encuentren los equipos informáticos que los tratan, que
deberá cumplir en todo caso las medidas de seguridad exigidas.
32. Ficheros automatizados: seguridad
media
• De cada intento de acceso se guardarán, como mínimo, la identificación
del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo
de acceso y si ha sido autorizado o denegado.
• Los mecanismos que permiten el registro de accesos estarán bajo el
control directo del responsable de seguridad competente sin que deban
permitir la desactivación ni la manipulación de los mismos.
• El responsable de seguridad se encargará de revisar al menos una vez
al mes la información de control registrada y elaborará un informe de las
revisiones realizadas y los problemas detectados.
33. Ficheros automatizados: seguridad alta
• La transmisión de datos de carácter personal a través de redes públicas
o redes inalámbricas de comunicaciones electrónicas se realizará
cifrando dichos datos o bien utilizando cualquier otro mecanismo que
garantice que la información no sea inteligible ni manipulada por
terceros.
34. Ficheros no automatizados: seguridad
básica
• El archivo de los soportes o documentos se realizará de acuerdo con los
criterios previstos en su respectiva legislación. Estos criterios deberán
garantizar la correcta conservación de los documentos, la localización y
consulta de la información y posibilitar el ejercicio de los derechos de
oposición al tratamiento, acceso, rectificación y cancelación.
• Los dispositivos de almacenamiento de los documentos que contengan
datos de carácter personal deberán disponer de mecanismos que
obstaculicen su apertura. Cuando las características físicas de aquéllos
no permitan adoptar esta medida, el responsable del fichero o
tratamiento adoptará medidas que impidan el acceso de personas no
autorizadas.
• Mientras la documentación con datos de carácter personal no se
encuentre archivada en los dispositivos de almacenamiento establecidos
la persona que se encuentre al cargo de la misma deberá custodiarla e
impedir en todo momento accesos no autorizados
35. Ficheros no automatizados: seguridad
media
• Los ficheros comprendidos en la presente sección se someterán, al
menos cada dos años, a una auditoría interna o externa que verifique el
cumplimiento de las medidas implantadas.
• Se designará uno o varios responsables de seguridad.
36. Ficheros no automatizados: seguridad
alta
• Los armarios, archivadores u otros elementos en los que se almacenen
los ficheros no automatizados con datos de carácter personal deberán
encontrarse en áreas en las que el acceso esté protegido con puertas de
acceso dotadas de sistemas de apertura mediante llave u otro
dispositivo equivalente.
• La generación de copias o la reproducción de los documentos
únicamente podrá ser realizada bajo el control del personal autorizado
en el documento de seguridad.
• Se establecerán mecanismos que permitan identificar los accesos
realizados en el caso de documentos que puedan ser utilizados por
múltiples usuarios.
• Siempre que se proceda al traslado físico de la documentación
contenida en un fichero, deberán adoptarse medidas dirigidas a impedir
el acceso o manipulación de la información objeto de traslado.
37. Procedimientos de seguridad
• Identificación y Autenticación de Usuarios.
• Control de acceso.
• Administración de Usuarios.
• Ficheros temporales.
• Separación de los recursos de desarrollo y
producción.
• Gestión de Soportes y Documentos.
• Desechado y reutilización de soportes.
• Almacenamiento de ficheros no
automatizados.
• Custodia de soportes.
• Criterios de archivo.
• Seguridad en redes de comunicación.
• Copias de respaldo.
• Régimen de trabajo fuera de los locales de
la ubicación del fichero.
• Traslado de documentación.
38. Identificación y autenticación de
usuarios
Este procedimiento recoge las reglas a aplicar en la administración de
usuarios con acceso a los sistemas de información, con objeto de
establecer mecanismos que eviten el acceso no autorizado a la
información del despacho.
39. Control de acceso
Este procedimiento contiene la normativa a aplicar
para el acceso de personas a los locales y
dependencias donde se almacenen los datos
automatizados o no automatizados.
40. Administración de usuarios y
gestión de bajas
El objeto de este procedimiento es describir cómo se realiza
la administración de los usuarios con acceso a los sistemas
de información y a los ficheros no automatizados del
despacho.
41. Ficheros temporales y copias de
documentos
Este apartado define la normativa a aplicar para el tratamiento de
ficheros temporales o copias de documentos que se hubiesen creado
exclusivamente para la realización de trabajos temporales o auxiliares,
de forma que se asegure la privacidad y seguridad de los datos de
carácter personal contenidos en los sistemas de información o en los
soportes no automatizados.
42. Separación de los recursos de
desarrollo y producción
Este apartado define la normativa a aplicar para la utilización
de datos reales en pruebas, de forma que se asegure la
privacidad y seguridad de los datos de carácter personal
contenidos.
43. Gestión de soportes y documentos
Los soportes informáticos y documentos que contengan datos de
carácter personal deberán permitir identificar el tipo de información que
contienen, ser inventariados y sólo deberán ser accesibles por el
personal autorizado para ello. Cuando las características físicas del
soporte imposibiliten su inventariado se hará constar en el anexo
correspondiente del documento de seguridad.
44. Desechado y reutilización de
soportes
Este apartado define la normativa a aplicar para destruir
toda la información de carácter personal contenida en
soportes automatizados y no automatizados cuya vigencia
haya caducado.
45. Almacenamiento de ficheros no
automatizados
Los archivos y documentos que contengan datos de carácter personal o
información sensible del despacho deberán estar almacenados en
lugares tales como armarios o archivadores que deberán tener
mecanismos que obstaculicen su apertura, por ejemplo una cerradura
con llave u otro mecanismo.
46. Custodia de soportes
En tanto los documentos con datos personales no se encuentren
archivados en los dispositivos de almacenamiento, por estar en proceso
de tramitación, las personas que se encuentren a su cargo deberán
custodiarlos e impedir el acceso a personas no autorizadas.
47. Criterios de archivo
El archivo de los soportes y documentos se realizará de acuerdo con los
criterios previstos en la legislación vigente. Estos criterios deberán
garantizar la correcta conservación de los documentos, la localización y
consulta de la información y posibilitar el ejercicio de los derechos
acceso, rectificación, cancelación y oposición.
48. Seguridad en redes de
comunicación
Las medidas de seguridad exigibles a los accesos a datos de carácter
personal a través de redes de comunicaciones, sean o no públicas,
deberán garantizar un nivel de seguridad equivalente al correspondiente
a los accesos en modo local.
49. Copias de respaldo
Mediante este procedimiento se define la operativa a realizar
para la obtención de las copias de respaldo, de recuperación
de datos de carácter personal y los procedimientos de
revisión semestrales.
50. Régimen de trabajo fuera de los
locales de ubicación del fichero
Este procedimiento es de aplicación tanto en las los ficheros
automatizados como en los ficheros en soporte papel o no
automatizados cuando se realice tratamiento fuera del
despacho.
51. Traslado de la documentación
Este procedimiento es de aplicación solo en ficheros no automatizados y
cuando se proceda al traslado físico de la documentación. En todos los
casos se adoptarán las medidas dirigidas a evitar la sustracción, pérdida
o acceso indebido a la información durante su transporte.
52. Funciones y obligaciones del
personal
• Propiedad intelectual.
• Control de acceso físico.
• Confidencialidad de los datos de carácter
personal.
• Acceso a los sistemas de información y
aplicaciones.
• Acceso a los sistemas no automatizados.
• Uso apropiado de recursos informáticos.
• Conectividad a internet.
• Correo electrónico.
• Gestión de soportes, documentos y
ficheros temporales.
• Salidas y entradas de datos de carácter
personal.
• Notificación de incidencias
53. Propiedad intelectual
Prohibido el uso, reproducción, cesión, transformación o comunicación
pública de cualquier tipo de documentación o información protegida por
la propiedad intelectual o por las normas de uso vigentes en el despacho
sin la debida autorización.
54. Control de acceso físico
El acceso al lugar donde se almacene la información
confidencial propia del despacho o bajo su supervisión
estará restringido exclusivamente al personal autorizado.
55. Confidencialidad de los datos de
carácter personal
Todas las personas deberán guardar el debido secreto y confidencialidad
sobre los datos que conozcan en el desarrollo de su trabajo. Se deberá
mantener absoluta discreción y confidencialidad sobre los datos
directamente contenidos en soportes informáticos, listados u otro material
que contenga información de carácter personal, así como la contenida en
los expedientes judiciales y/o administrativos.
56. Acceso a los sistemas de
información y aplicaciones
El personal tendrá que disponer de un acceso autorizado (mediante
identificador de usuario y contraseña) a los sistemas y diversas
aplicaciones. El personal no deberá revelar bajo ningún concepto su
contraseña a otra persona, ni mantenerla por escrito a la vista o al
alcance de terceros y será responsable de toda la actividad relacionada
con el uso de su acceso autorizado.
57. Acceso a los sistemas no
automatizados
El personal solamente podrá utilizar o acceder a los documentos en
papel y archivos no automatizados a los que esté autorizado por el
Responsable del Fichero
58. Uso apropiado de recursos
informáticos
Los recursos informáticos (datos, aplicaciones, sistemas informáticos,
etc.) estarán disponibles exclusivamente para cumplir las obligaciones
laborales y propósito de la operativa para la que fueron diseñados e
implantados.
59. Conectividad a internet
La autorización de acceso a Internet se concederá de manera acorde
con la labor que los usuarios desempeñen en el despacho.
60. Correo electrónico
El servicio de correo electrónico es un servicio que el despacho pondrá a
disposición de su personal para uso estrictamente profesional. Queda
terminantemente prohibido intentar leer, borrar, copiar o modificar los
mensajes de correo electrónico de otros usuarios sin autorización
expresa del usuario propietario del correo ni hacer un uso personal del
mismo.
61. Gestión de soportes, documentos
y ficheros temporales
El personal autorizado a manejar soportes que contengan datos de
carácter personal deberá guardar los mismos en un lugar seguro
cuando éstos no sean usados. Además, se deberán inventariar los
soportes que se tengan guardados y mantener siempre actualizado
este inventario. Sólo se podrán crear ficheros temporales cuando sea
necesario para el desempeño de un trabajo, deberán estar ubicados en
directorios debidamente estructurados de los servidores y nunca en
unidades locales de disco.
62. Salidas y entradas de datos de
carácter personal
Queda prohibida la salida de ficheros informáticos de las instalaciones
del despacho sin autorización del Responsable Delegado del Fichero.
Igualmente queda prohibida la salida de documentos en papel fuera de
las instalaciones del despacho a excepción de aquellos que sean
precisos para el desempeño de los trabajos que se tengan asignados y
sólo por parte de personal autorizado.
63. Notificación de incidencias
Es obligación de todo el personal del despacho comunicar cualquier
incidencia de seguridad que se produzca y esté relacionada con los
sistemas de información o con cualquier fichero no automatizado
propiedad del despacho o confiado a éste.
64. Derechos de acceso, rectificación
y cancelación
• La persona que reciba la solicitud la enviará al Responsable delegado del
Fichero.
• La respuesta al interesado se deberá realizar siempre, con independencia
de que figuren o no datos personales del afectado en los ficheros.
• La cancelación de los datos dará lugar al bloqueo de los datos,
conservándose únicamente a disposición de las Administraciones Públicas,
Jueces y Tribunales
65. Incidencias de seguridad
• Sospechas de uso indebido de contraseña:
utilización de la contraseña por otra
persona distinta del usuario titular de la
misma.
• Pérdida de soportes informáticos con
datos de carácter personal.
• Pérdida de información en soporte no
automatizado.
• Accesos de personas no autorizadas a
dependencias que contienen sistemas de
información o zonas de almacenamiento
de archivos no automatizados.
• Accesos o copia por parte de personas no
autorizadas de ficheros en soporte no
automatizado.
• Ataques a la red e infección de los
sistemas de información por virus.
• Recuperación de datos de carácter
personal en sistemas automatizados.
66. Procedimiento de gestión de
incidencias de seguridad
• Comunicar incidencia a responsable de
seguridad.
• Asignar incidencia a persona o empresa
autorizada para su resolución.
• Resolver incidencia. Tras su resolución se
registrarán las acciones realizadas.
• Cierre de incidencia. Se dejará constancia
escrita de la incidencia, se registrarán las
acciones realizadas y en su caso los datos
recuperados
67. Incumplimiento del documento de
seguridad.
Todo empleado o personal que preste servicios en la Fundación
Mediterránea tiene la obligación de cumplir con las normas de seguridad
establecidas en el Documento de Seguridad, pudiendo ser sancionados
disciplinariamente de conformidad con el Estatuto de los Trabajadores y
legislación concordante aplicable.
69. Buenas prácticas
• Documento de seguridad accesible en
todo o en parte al personal y empresas
colaboradoras.
• Circulares informativas a empleados con
acuse de recibo.
• Firma de acuerdos de confidencialidad con
empleados y colaboradores.
• Incorporación de avisos legales en materia
de protección de datos personales en los
documentos del despacho.
• Registrar entradas y salidas de soportes
con datos de carácter personal.
• Inventariado de soportes, dispositivos y
aplicaciones informáticas.
• Inventariado del control de acceso a
usuarios.