decálogo de medidas de seguridad aplicadas a la

Anuncio
 DECÁLOGO DE MEDIDAS DE
SEGURIAD SOBRE PROTECCIÓN DE
DATOS PERSONALES EN
CORREDURIAS DE SEGUROS
DEFINICIONES
Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento
Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una
persona distinta del interesado
Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso
a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso
NIVELES DE DATOS
DECÁLOGO DE MEDIDAS DE SEGURIDAD APLICADAS A LA MEDIACIÓN DE
SEGUROS
Debemos registrar cualquier incidencia como perdida de claves de acceso, perdidas
de soportes con datos, como una carpeta con copias
Lo mas recomendable en las corredurias es que la formacion periodica que deben
hacer los empleados incluyan formacion de LOPD para actualizar e incorporar nuevos
conocimientos y novedades.
Debemos de mantener actualizada la relacion de usuarios que acceden a nuestros
ficheros tanto en papel como informaticos y en todo caso mantener actualizada esta
informacion en la documentación
Cada usuarios solo tendra acceso a los datos que necesite para su trabajo
En el caso de corredurias y siempre que sea justificable por el tamaño del despacho
de mediacion, los empleados pueden tener acceso a todos los datos
Todos los ficheros y soportes deben estar identificados y clasificados
En las mesas de trabajo solo debe de estar el material de trabajo y al final del dia
deben de quedar recogidas y los expedientes en sus archivadores
Tanto en soporte electronico o papel se debe de proceder a su destruccion una vez no
se estan utilizando
Las copias de seguridad deben de hacerse DIARIAMENTE Y debemos de comprobar
que estan correctamente hechas
Cada 6 meses debemos de realizar un simulacro de restauracion de datos
Si enviamos correos electronicos a multiples destinatarios con fines de difusión de una
noticia o convocatoria de un evento, debemos de utilizar la copia oculta.
Siempre se debe de firmar por el cliente la carta autorizandonos a tratar sus datos
personales y esta debe de conservarse hasta la finalización de la relacion comercial
Si tenemos que recuperar unas copias de seguridad o que nuestros proveedores de
servicios haga una reparacion debemos de autorizarlo previamente. Especiamente
importante es si un ordenador con datos sale de la correduria para realizar una
reparacion
Todos los sistemas informáticos de la correduria debe de accederse mediante usuario
y contraseña. Tanto al programa de gestion de polizas como a los ordenadores
Las contraseñas deben de ser cambiadas periódicamente
Los dispositivos móviles como telefonos, PDA's, netbook, etc deben de contar con
mecanismos que dificulten su acceso ante el riesgo de perdida o sustracción.
Todas las ubicaciones donde se contengan datos bien en ordenadores o en papel
deben de tener algun control de acceso como por ejemplo cerradura
En lugares donde se compartan instalaciones con otra empresa o actividad En
despachos donde se ejerzan dos actividades estos ficheros estarán separados y con
acceso diferentes a ficheros y documentos de las diferentes actividades.
Cuando se cambie el software de gestion de polizas o se instale uno nuevo con
acceso a datos de clientes, no se deben utilizar datos reales para las pruebas de
funcionamiento.
Es muy importante respetar los plazos de realizacion de la auditoria y no retrasarlo
Si se tiene que sacar de la correduria algun soporte con datos que contengan alguno
de nivel alto este debera estar cifrado y con acceso mediante contraseña
Tambien hay que controlar los soportes de datos tipo "pen" o "flash memories" puesto
que son dispositivos de muy pequeño tamaño y se puede extraviar facilmente con
grandes cantidades de información
Un soporte con una copia de seguridad debe de conservarse fuera de la correduria
En el caso de datos de nivel alto el envio de los mismo se hara cifrado por lo que no es
posible el envio como archivo adjunto en un email salvo que este necesite de
contraseña para su apertura
En ningun caso se podra enviar esta informacion mediante fax si no que se enviará por
correo postal siempre en sobre cerrado y con indicacion del interesado destinatario, o
se entregará directamente al propietario de los datos
Toda información relativa a la persona física es un dato personal (nombre, apellidos,
dirección física o electrónica, teléfono, CV, fotos, grabaciones de vídeo o de audio,
etc.). Hay excepciones, pero como el criterio de la AEPD evoluciona, es mejor no
arriesgar y tener la consideración mas amplia posible de datos personal.
Medidas de seguridad aparte, todos los datos personales que tratemos, deben recibir
el mismo trato que le damos a nuestra contraseña del banco. La gente no se preocupa
mucho por sus propios datos, pero la empresa está obligada a hacerlo. Igualmente,
todos nos aseguramos de que la contraseña sea correcta, aunque tengamos que
validarlo con el banco.
Toda vía de entrada de datos personales en nuestra correduria debe estar cubierta
con una cláusula informativa sobre quiénes somos, dónde estamos, para qué vamos a
usar los datos y los derechos que tiene la persona con respecto a sus propios datos.
La página web, el teléfono, el correo electrónico y ordinario, el mostrador de la
tienda… tenemos que ser capaces de identificar las vías de entrada de datos y
estudiar la mejor forma de informar.
Es ilegal utilizar los datos para algo distinto de lo informado. Antes de llevar a cabo
cualquier tratamiento o cesión de datos, debemos cerciorarnos de que nuestra
cláusula lo permite incluso para el envio de información de productos que no tenga el
cliente contratado y que consideremos que puedan ser de su interes. Insistimos, esto
afecta a todos los datos personales(cámaras de videovigilancia, datos de empleados,
clientes y usuarios, etc.)
Con información y consentimiento se puede hacer casi cualquier cosa. Por eso es tan
importante la cláusula informativa y que podamos acreditar el consentimiento
inequívoco.
Cuando los datos ya no sean necesarios, deben ser cancelados. Esto implica sacarlos
del fichero original y guardarlos en otro fichero de acceso y uso totalmente restringido,
únicamente por si recibimos alguna denuncia. El plazo durante el que tenemos que
tenerlos bloqueados es incierto, porque dependerá del plazo de prescripción de las
posibles responsabilidades. En protección de datos son 3 años como máximo, pero
dependiendo del caso, podríamos llegar a necesitar la información hasta 15 años
después. Lo más lógico es guardarlos bloqueados un periodo de tiempo prudencial de
unos 5 años y luego borrarlos
Debemos exigir el cumplimiento de la normativa a empleados, becarios, empresas
colaboradoras y prestadores de servicios… en general, a cualquiera que pueda
acceder a datos de nuestra responsabilidad.
Facilitar a la gente su derecho a disponer libremente de sus datos. Los datos que
tratamos pertenecen a su legítimo dueño, y como tal, tiene derecho a que le digamos
qué estamos haciendo con sus datos, a corregirlos si los tenemos mal, a negarnos un
uso concreto de los mismos, a exigirnos que los borremos, y a cambiar de opinión
sobre el consentimiento que nos prestó en su momento.
Descargar