DECÁLOGO DE MEDIDAS DE SEGURIAD SOBRE PROTECCIÓN DE DATOS PERSONALES EN CORREDURIAS DE SEGUROS DEFINICIONES Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento Cesión o comunicación de datos: Tratamiento de datos que supone su revelación a una persona distinta del interesado Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso NIVELES DE DATOS DECÁLOGO DE MEDIDAS DE SEGURIDAD APLICADAS A LA MEDIACIÓN DE SEGUROS Debemos registrar cualquier incidencia como perdida de claves de acceso, perdidas de soportes con datos, como una carpeta con copias Lo mas recomendable en las corredurias es que la formacion periodica que deben hacer los empleados incluyan formacion de LOPD para actualizar e incorporar nuevos conocimientos y novedades. Debemos de mantener actualizada la relacion de usuarios que acceden a nuestros ficheros tanto en papel como informaticos y en todo caso mantener actualizada esta informacion en la documentación Cada usuarios solo tendra acceso a los datos que necesite para su trabajo En el caso de corredurias y siempre que sea justificable por el tamaño del despacho de mediacion, los empleados pueden tener acceso a todos los datos Todos los ficheros y soportes deben estar identificados y clasificados En las mesas de trabajo solo debe de estar el material de trabajo y al final del dia deben de quedar recogidas y los expedientes en sus archivadores Tanto en soporte electronico o papel se debe de proceder a su destruccion una vez no se estan utilizando Las copias de seguridad deben de hacerse DIARIAMENTE Y debemos de comprobar que estan correctamente hechas Cada 6 meses debemos de realizar un simulacro de restauracion de datos Si enviamos correos electronicos a multiples destinatarios con fines de difusión de una noticia o convocatoria de un evento, debemos de utilizar la copia oculta. Siempre se debe de firmar por el cliente la carta autorizandonos a tratar sus datos personales y esta debe de conservarse hasta la finalización de la relacion comercial Si tenemos que recuperar unas copias de seguridad o que nuestros proveedores de servicios haga una reparacion debemos de autorizarlo previamente. Especiamente importante es si un ordenador con datos sale de la correduria para realizar una reparacion Todos los sistemas informáticos de la correduria debe de accederse mediante usuario y contraseña. Tanto al programa de gestion de polizas como a los ordenadores Las contraseñas deben de ser cambiadas periódicamente Los dispositivos móviles como telefonos, PDA's, netbook, etc deben de contar con mecanismos que dificulten su acceso ante el riesgo de perdida o sustracción. Todas las ubicaciones donde se contengan datos bien en ordenadores o en papel deben de tener algun control de acceso como por ejemplo cerradura En lugares donde se compartan instalaciones con otra empresa o actividad En despachos donde se ejerzan dos actividades estos ficheros estarán separados y con acceso diferentes a ficheros y documentos de las diferentes actividades. Cuando se cambie el software de gestion de polizas o se instale uno nuevo con acceso a datos de clientes, no se deben utilizar datos reales para las pruebas de funcionamiento. Es muy importante respetar los plazos de realizacion de la auditoria y no retrasarlo Si se tiene que sacar de la correduria algun soporte con datos que contengan alguno de nivel alto este debera estar cifrado y con acceso mediante contraseña Tambien hay que controlar los soportes de datos tipo "pen" o "flash memories" puesto que son dispositivos de muy pequeño tamaño y se puede extraviar facilmente con grandes cantidades de información Un soporte con una copia de seguridad debe de conservarse fuera de la correduria En el caso de datos de nivel alto el envio de los mismo se hara cifrado por lo que no es posible el envio como archivo adjunto en un email salvo que este necesite de contraseña para su apertura En ningun caso se podra enviar esta informacion mediante fax si no que se enviará por correo postal siempre en sobre cerrado y con indicacion del interesado destinatario, o se entregará directamente al propietario de los datos Toda información relativa a la persona física es un dato personal (nombre, apellidos, dirección física o electrónica, teléfono, CV, fotos, grabaciones de vídeo o de audio, etc.). Hay excepciones, pero como el criterio de la AEPD evoluciona, es mejor no arriesgar y tener la consideración mas amplia posible de datos personal. Medidas de seguridad aparte, todos los datos personales que tratemos, deben recibir el mismo trato que le damos a nuestra contraseña del banco. La gente no se preocupa mucho por sus propios datos, pero la empresa está obligada a hacerlo. Igualmente, todos nos aseguramos de que la contraseña sea correcta, aunque tengamos que validarlo con el banco. Toda vía de entrada de datos personales en nuestra correduria debe estar cubierta con una cláusula informativa sobre quiénes somos, dónde estamos, para qué vamos a usar los datos y los derechos que tiene la persona con respecto a sus propios datos. La página web, el teléfono, el correo electrónico y ordinario, el mostrador de la tienda… tenemos que ser capaces de identificar las vías de entrada de datos y estudiar la mejor forma de informar. Es ilegal utilizar los datos para algo distinto de lo informado. Antes de llevar a cabo cualquier tratamiento o cesión de datos, debemos cerciorarnos de que nuestra cláusula lo permite incluso para el envio de información de productos que no tenga el cliente contratado y que consideremos que puedan ser de su interes. Insistimos, esto afecta a todos los datos personales(cámaras de videovigilancia, datos de empleados, clientes y usuarios, etc.) Con información y consentimiento se puede hacer casi cualquier cosa. Por eso es tan importante la cláusula informativa y que podamos acreditar el consentimiento inequívoco. Cuando los datos ya no sean necesarios, deben ser cancelados. Esto implica sacarlos del fichero original y guardarlos en otro fichero de acceso y uso totalmente restringido, únicamente por si recibimos alguna denuncia. El plazo durante el que tenemos que tenerlos bloqueados es incierto, porque dependerá del plazo de prescripción de las posibles responsabilidades. En protección de datos son 3 años como máximo, pero dependiendo del caso, podríamos llegar a necesitar la información hasta 15 años después. Lo más lógico es guardarlos bloqueados un periodo de tiempo prudencial de unos 5 años y luego borrarlos Debemos exigir el cumplimiento de la normativa a empleados, becarios, empresas colaboradoras y prestadores de servicios… en general, a cualquiera que pueda acceder a datos de nuestra responsabilidad. Facilitar a la gente su derecho a disponer libremente de sus datos. Los datos que tratamos pertenecen a su legítimo dueño, y como tal, tiene derecho a que le digamos qué estamos haciendo con sus datos, a corregirlos si los tenemos mal, a negarnos un uso concreto de los mismos, a exigirnos que los borremos, y a cambiar de opinión sobre el consentimiento que nos prestó en su momento.