Tratamiento de la información

10 errores que seguro sigues cometiendo con la protección de datos

Todas las entidades tanto públicas como privadas, e independientemente de su tamaño, tienen que estar ya cumpliendo con la nueva ley de protección de datos. Pero a pesar de los dos años de plazo que se dieron para que pudiesen adaptarse al Reglamento General del Protección de Datos (RGPD) y transcurridos casi dos meses desde su aprobación, aún existen muchos negocios que cometen una serie de errores.

10 errores que seguro sigues cometiendo con la protección de datos

El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (RGPD), una nueva normativa que afecta a todas las entidades en cuanto a la gestión de los datos. La mayoría de los negocios de este país han puesto en marcha, antes y después de la aplicación de la norma, una serie de medidas para cumplir con la Ley. No obstante, y a pesar de los esfuerzos, se siguen cometiendo errores en los negocios que llevan al incumplimiento de la normativa y que pueden terminar en grandes multas.

Muchos de estos errores se suelen cometer por ejemplo en la gestión de la plantilla, ya que es cuando todos los autónomos, independientemente del sector en el que realicen su actividad, tratan con datos de carácter personal; que son los que más protege la normativa. Pero hay otros aspectos en el día a día de un negocio dónde se puede incumplir el RGPD. La compañía especializada en soluciones tecnológicas y transformación digital de empresas, Seresco, ha analizado diferentes negocios y ha elaborado un decálogo en el que recogen los 10 errores que se cometen con los datos.

1.- Reenviar currículums por correo electrónico

Es habitual que muchos de los currículums que llegan al encargado de un negocio, procedan del propio personal o de un conocido que envía el contacto de alguien. Se trata del envío de un documento que posee información de carácter personal de una personal. Con el RGPD en marcha, lo más conveniente es que se le proporcione al interesado el email de la persona encargada de gestionar los empleados (ya sea el propio autónomo, o el departamento de recursos humanos) para que pueda gestionar él mismo la información, sin necesidad de que esta sea reenviada.

2.- No tirar los currículums una vez finalizado el proceso de selección

Una vez que el autónomo ha escogido a la persona que va a trabajar en su negocio, éste deberá eliminar y destruir los currículums impresos. No obstante, puede mantenerlos en formato electrónico. El tiempo para destruir los currículums variará en función de si ha recibido el documento, por ejemplo, para un proceso de selección, en cuyo caso se podrá mantener mientras dure dicho proceso. Si por el contrario es de autocandidatura, el plazo de conservación puede ser mayor, siempre que se informe previamente al interesado.

3.- No registrar la entrada y salida de soportes de almacenamiento

Los soportes de almacenaje de información, como CD, DVD o dispositivos USB son una herramienta fundamental para muchas compañías y en ocasiones se suele almacenar información confidencial en ellos. Como medida exigida por la Ley Orgánica 15/1999 (LOPD) se han de registrar las entradas y salidas de estos soportes en un documento. Pero el RGPD añade nuevas exigencias de seguridad, desde Seresco recomiendan el cifrado de información en este tipo de soportes.

4. Abandonar la oficina con la pantalla del ordenador o portátil encendido

Nuestro ordenador o portátil de trabajo almacena en muchos casos información muy sensible que bebe protegerse en todo momento, incluso cuando no se está en la oficina. Para ello, basta con cerrar la sesión cuando finalice el turno de trabajo y proteger el usuario con una contraseña. Muchos negocios optan por adoptar políticas de bloqueo de sesión tras un tiempo corto de inactividad, para añadir una capa de seguridad por encima de las acciones del propio usuario. De igual forma, tampoco se debe dejar desatendidos el móvil en lugares públicos (aunque formen parte del entorno de trabajo, como en una sala de reuniones). Debemos proteger todos los dispositivos que almacenen información sensible de terceros.

5. Dejar documentos con información confidencial encima de nuestra mesa

En la medida de lo posible, hay que evitar dejar sobre la mesa documentos con información confidencial, para evitar que puedan ser leídos por otras personas Y el puesto de trabajo debe permanecer despejado de información al finalizar el turno de trabajo. Esta información es sensible y, aunque se esté la mayor parte de la jornada en el lugar de trabajo, se debe evitar dejar este tipo de documentación a la vista.

6. Dejar en la impresora o escáner documentación confidencial

Ya sean documentos impresos o escaneados, o se trate de dispositivos que se encuentren en el lugar de trabajo, hay que evitar dejar documentación en los dispositivos más tiempo del estrictamente necesario.

7.Archivar información sensible en soportes extraíbles sin cifrar

Desde Seresco recomendamos que, en el caso de necesitar almacenar información confidencial en soportes extraíbles, estos sean cifrados. Además de los dispositivos extraíbles, hay que realizar un cifrado de las carpetas o información que contenga el soporte.

8. No etiquetar los soportes extraíbles con información confidencial

Los soportes, ya sean en formato CD, DVD o en dispositivos USB que contengan información protegida deben estar etiquetados.

9. No almacenar dichos soportes bajo llave y acceso restringido

Cuando se haya terminado de trabajar con estos dispositivos extraíbles, su almacenamiento es fundamental para proteger la información sensible. Para ello, deben almacenarse en un armario cerrado bajo llave y con acceso restringido al personal autorizado en la gestión de esos datos.

10. No cifrar los correos electrónicos que contienen datos personales o información confidencial

En ocasiones necesitamos enviar correos electrónicos que contienen información sensible o datos personales. Para protegerse y adaptarse al nuevo reglamento, se debe firmar digitalmente y cifrar los correos enviados con información confidencial.

Para garantizar la adaptación a este Reglamento, la compañía Seresco aconseja realizar un análisis de riesgos en el negocio para adoptar las medidas de seguridad oportunas, entre las que no debe faltar una campaña de formación y sensibilización al personal, que pueda prevenir incumplimientos involuntarios de la normativa.