lunes, 16 de diciembre de 2013

Si yo fuera su Data Protection Officer (IV)

En el post de ayer, les facilité algunas ideas para mejorar la gestión de proveedores desde el punto de vista de la seguridad de la información y la protección de datos. Lo escribí para que sirviera de guía al Data Protection Officer del responsable del fichero. Si su empresa presta servicios a otras compañías que implican tratamiento de datos de carácter personal, es decir, si es encargado del tratamiento, debe aprender a utilizar el cumplimiento de las leyes de privacidad como una herramienta comercial.

Si yo fuera el Data Protection Officer de su compañía (y ya sabe que puede hacerme una oferta en el correo electrónico que encontrará en la columna de la derecha), le daría tres consejos básicos:

1º. Sea transparente. Si invierte en cumplimiento normativo y en seguridad, rentabilícelo. Informe en su web, en sus blogs corporativos, en sus revistas y catálogos del valor añadido que esto supone. Aquí los responsables de seguridad y los DPO desempeñan un papel importante: su participación en enventos especializados y su relación directa los clientes resulta fundamental. Fomente la confianza de los clientes. Trabaje con seriedad y encargue la gestión a profesionales cualificados.

2º. Adelántese a las peticiones del responsable del fichero. Ya le comenté en el post de ayer lo que le solicitarán para acreditar diligencia. ¿Por qué no va un paso por delante? Usted destina recursos materiales y humanos al mantenimiento de un documento de seguridad coporativo. Realiza auditorías internas y externas. Ha implantado un SGSI. Ha desarrollado políticas, procedimientos y normas. Cuando trate datos responsabilidad de un cliente en sus sistemas, envíele un informe de los protcolos de seguridad que ha implantado en el tratamiento de los datos, facilítele un resumen del resultado de la última auditoría de seguridad, indíquele que su documento de seguridad corporativo incluye expresamente los datos del cliente.

3º. Forme al personal que trata con sus clientes, especialmente si trabaja en las oficinas del cliente. Transmitirán una image inmejorable de su empresa los trabajadores concienciados, los que, por poner un par de ejemplos, explican que sus portátiles están encriptados, no quieren almacenar en ellos más datos de los necesarios o no abren un archivo para hacer una presentación y dejan a la vista documentos de otros clientes.

Aquí lo dejo. No quiero extenderme más (a algún seguidor de este blog, podría provocarle un aneurisma). Mañana nos toca la sección "El Consultorio del Doctor Lopedé" y responderé a una consulta que me ha llegado por mail esta misma mañana. Verán qué entretenida.

No hay comentarios: