El plan de acción para proteger los datos que su organización posee dependerá de muy diversos factores como, por ejemplo: el tipo de datos que almacena, la sensibilidad de los datos, cuánta información posee, la complejidad de su infraestructura digital y si su organización dispone de formación sobre seguridad digital o decide contratar este servicio. Como mínimo debería seguir los siguientes pasos:

• Elaborar una lista de los datos personales que almacena y esquematizar dónde guarda esta información.

• Realiza una evaluación de riesgos, y localizar las fuentes más probables de accesos no autorizados o información filtrada.

• Implemente un plan de acción para proteger los datos que construido a partir de su evaluación de riesgos y que incluya: minimización de datos (recabar, procesar y almacenar únicamente los datos absolutamente necesarios), control de acceso (limitar quién tiene acceso a datos personales), almacenamiento seguro (¿Dónde guarda la información personal y/o sensible? ¿Se almacena separadamente de información no personal o no sensible? ¿Se almacena encriptada?), higiene digital de la plantilla y políticas de retención, archivo y eliminación de datos.

• Ponga a prueba la seguridad de los sistemas que almacenen los datos (servidores, gestores de email, archivos, etc.).

• Ponga por escrito todas las acciones tomadas para proteger los datos personales que posee.

• Elabore y ponga a prueba un plan de acción ante un fallo de seguridad que defina deberes y responsabilidades de la plantilla, que dirija la comunicación don la APD, entre otros.

• Cree un plan para revisar periódicamente estos pasos.