Etiqueta: gdpr

Tecnologia e Gestão

Cómo crear una política de seguridad de la información en su empresa

La protección de la información de las empresas es el tema del momento, debido a la llegada del nuevo reglamento general de protección de datos. Las empresas son cada vez más digitales y sin la prevención de la pérdida de datos, la seguridad de éstos queda seriamente comprometida. La política de seguridad en las empresas es una herramienta imprescindible para garantizar que sus datos permanezcan seguros. En el artículo de hoy, le dejamos consejos importantes para crear una política de seguridad de la información en su empresa.

¿Qué es una política de seguridad?

La política de seguridad es un documento desarrollado por la empresa donde se registran los principios de seguridad que la empresa adopta y que deben ser seguidos por los colaboradores. La política de seguridad debe aplicarse en todos los sistemas de información, tanto a nivel de escritorio y de móvil. Para que la política sea respetada, es esencial que los gestores de primer nivel participen en la implementación.

Cómo crear una buena política de seguridad de la información

  • Defina la responsabilidad de los empleados: establezca multas para la mala utilización de los recursos de TI de la empresa. Deben incluirse también normas sobre el acceso a sitios y recomendaciones sobre el uso de los dispositivos electrónicos suministrados.
  • Dar formación: debe haber una formación práctica en la presentación de la política de seguridad de la información. La empresa debe recoger declaraciones individuales de los colaboradores, comprometiéndose a cumplir las reglas que constan en el documento. Este manual debe ser de fácil acceso para los colaboradores y deberá ser revisado con frecuencia, para que se mantenga siempre actualizada.
  • Nombre a un responsable: la empresa debe nombrar a una persona responsable para supervisar el cumplimiento de la política de seguridad de la información. Este colaborador debe ser el responsable de detectar incumplimientos y violaciones de las reglas.
  • Da a conocer la política de seguridad: el documento debe ser aprobado por el departamento de recursos humanos de la empresa. Las reglas presentes en este documento deben estar de acuerdo con las leyes del trabajo y con el manual interno de los colaboradores. Después de la aprobación por parte de los recursos humanos, los gestores de primer nivel también deben hacer su aprobación.
  • Adopte un plan de desastres de recuperación: los planes de desastres de recuperación son esenciales para planificar acciones que garantizan que un desastre no interfiera en el rendimiento de la empresa. Además de esta acción proactiva, los planes de recuperación de desastres tienen también una acción reactiva, a través de la acción de la ejecución de acciones de emergencia, planificadas previamente y que garantizan la resolución inmediata de problemas. La recuperación de desastres se define como el conjunto de procedimientos que deben realizarse en situaciones de crisis. El objetivo final es saltar los datos de su empresa para que su información se mantenga sana y salva.

 

«Vale más prevenir que curar» es una verdad absoluta en lo que se refiere a la seguridad de la información de su empresa. ¡Conozca las soluciones de IT PEERS a nivel de seguridad y garantice la protección de sus datos!

Dicas de Gestão

Las principales implicaciones del RGPD en la gestión de recursos humanos

El Reglamento General de Protección de Datos (RGPD) entra en vigor el 25 de mayo. Además de traer cambios significativos en el área del marketing, también tendrá un fuerte impacto en la gestión de recursos humanos. Para evitar las enormes multas que el incumplimiento del RGPD trae, las empresas necesitan introducir cambios importantes en el proceso de tratamiento de datos personales en el contexto laboral. ¡En el artículo de hoy, abordamos las principales implicaciones del RGPD en la gestión de recursos humanos!

Necesario consentimiento de los candidatos para el tratamiento de los datos

Si hasta ahora el consentimiento tácito de los candidatos era suficiente para que la empresa pudiera tratar sus datos personales, con el nuevo Reglamento las empresas necesitan obtener el consentimiento explícito de los candidatos para el tratamiento de sus datos. Los candidatos que no sean reclutados deberán dar su consentimiento para el tratamiento de sus datos personales en los procesos de contratación futuros.

Actualización de los currículos de la base de datos

Deberá enviarse una comunicación escrita al candidato de modo que éste exprese su consentimiento escrito para la conservación de sus datos en la base de datos. En este momento también deberá haber confirmación de que los datos están actualizados y si no están el candidato deberá actualizarlos. Si el candidato no responde a esta comunicación, la empresa deberá apagar el currículo al final del plazo establecido.

Candidaturas espontáneas

El área de gestión de recursos humanos debe crear un procedimiento para obtener el consentimiento de los candidatos que envíen solicitudes espontáneas, donde acepten el tratamiento y la conservación de sus currículos. Aquí se indicará la finalidad del tratamiento de los datos y el plazo en que el currículo se mantendrá en la base de datos de la empresa.

Contacto por parte de la empresa

El reclutamiento activo sólo puede ser hecho entre los individuos que pongan a disposición sus contactos en plataformas dedicadas al mundo del trabajo, como es el caso de Linkedin. En este caso, existe la voluntad del candidato en ser contactado por empresas. Sin embargo, después del primer contacto deberá haber consentimiento explícito por parte del candidato para la continuación del tratamiento de sus datos personales.

Conservación de datos personales en la base de datos de la empresa

El nuevo Reglamento obliga a las empresas a conservar sólo los datos que se actualizan. Además, existe un principio de minimización en la ley que dice que los datos sólo pueden ser conservados por la empresa durante el período estrictamente necesario. Así, cuando un determinado proceso de reclutamiento termine, la gestión de recursos humanos debe tener un procedimiento para eliminar currículos y todos los documentos complementarios recogidos durante ese proceso. La nueva ley determina que los currículos se mantendrán actualizados durante el año y terminado este plazo la documentación deberá ser eliminada o deberá haber una comunicación por escrito para que el candidato confirme o actualice sus datos.

Segurança

Reglamento de Protección de Datos: todo lo que necesita saber

Para la Comisión Europea, la protección de los datos personales es un elemento clave del Mercado Único Digital. Todo este escenario potenció la creación del nuevo Reglamento General de Protección de Datos (RGPD) para la Unión Europea, que deroga la legislación actual sobre la protección de los datos personales, publicada en 1995, cuando el acceso a Internet aún no era generalizado. El nuevo Reglamento de protección de datos entra en vigor en mayo de 2018 y aún existe mucho desconocimiento en cuanto a su actuación e implicaciones. ¡En este artículo, abordaremos todos los aspectos que debe conocer para recibir el nuevo reglamento de protección de datos de conformidad con la ley!

Los cambios más significativos e impactantes de este nuevo reglamento son los siguientes:

Derecho al olvido

Los ciudadanos podrán exigir a las empresas que eliminen los datos personales. El nuevo reglamento permite que los datos personales de cada ciudadano sean destruidos por su solicitud.

Portabilidad de los datos

Los ciudadanos pueden exigir a las empresas que les envíen sus datos personales en un formato que permita que se envíen a otra empresa, facilitando su migración y haciendo más simple el cambio de proveedor de servicios de televisión, por ejemplo.

Derecho de oposición al profiling

Los sistemas informáticos de las empresas deberán poder registrar quién ha indicado la negativa al tratamiento automatizado de sus datos, como se suele hacer en procesos de análisis conductuales y creación de perfiles de consumo.

Registros y prueba de consentimiento

En relación con la relación en línea con los clientes, los sistemas de las empresas deben exponer las políticas de privacidad en un lenguaje claro y objetivo. El consentimiento para el tratamiento de datos por parte de los usuarios debe guardarse de forma que se muestre si es necesario.

Privacidad por defecto y diseño

Se deben tomar medidas que aseguren la protección de los datos desde el diseño de aplicaciones informáticas, minimización del tratamiento de datos personales, enmascaramiento de los datos, encriptación, entre otros tópicos.

Obligatoriedad de notificar

Las empresas y las organizaciones tienen el deber de notificar a la Autoridad Nacional de supervisión para las infracciones de datos para situaciones que pongan a las personas en riesgo y comunicar al ciudadano afectado todas las infracciones de alto riesgo lo antes posible, a que se puedan tomar las medidas apropiadas.

¿Cómo saber si la nueva ley se aplica a mi empresa?

La nueva ley de protección de datos se aplica a cualquier organización que haga negocios en la Unión Europea, independientemente de que el procesamiento de los datos personales se produzca en la Unión Europea o no, y con independencia de que sean datos personales sobre residentes de la Unión Europea o sólo visitantes.

¿Qué ocurre si no se cumple con el nuevo reglamento de protección de datos?

El régimen de castigo de la nueva ley es bastante exigente y engloba multas que en el caso de violaciones de menor gravedad pueden alcanzar los 10 millones de euros o el 2% del volumen mundial de negocios a nivel global. En los casos más graves, las multas pueden alcanzar los 20 millones de euros o el 4% del volumen de negocios total.

¡Puede conocer mejor el nuevo reglamento de protección de datos descargando este e-book que explora la nueva ley y lo informa sobre todo lo que necesita saber!