El plan de acción para proteger los datos que su organización posee dependerá de muy diversos factores como, por ejemplo: el tipo de datos que almacena, la sensibilidad de los datos, cuánta información posee, la complejidad de su infraestructura digital y si su organización dispone de formación sobre seguridad digital o decide contratar este servicio. Como mínimo debería seguir los siguientes pasos:
-
Elaborar una lista de los datos personales que almacena y esquematizar dónde guarda esta información.
-
Realiza una evaluación de riesgos, y localizar las fuentes más probables de accesos no autorizados o información filtrada.
-
Implemente un plan de acción para proteger los datos que construido a partir de su evaluación de riesgos y que incluya: minimización de datos (recabar, procesar y almacenar únicamente los datos absolutamente necesarios), control de acceso (limitar quién tiene acceso a datos personales), almacenamiento seguro (¿Dónde guarda la información personal y/o sensible? ¿Se almacena separadamente de información no personal o no sensible? ¿Se almacena encriptada?), higiene digital de la plantilla y políticas de retención, archivo y eliminación de datos.
-
Ponga a prueba la seguridad de los sistemas que almacenen los datos (servidores, gestores de email, archivos, etc.).
-
Ponga por escrito todas las acciones tomadas para proteger los datos personales que posee.
-
Elabore y ponga a prueba un plan de acción ante un fallo de seguridad que defina deberes y responsabilidades de la plantilla, que dirija la comunicación don la APD, entre otros.
-
Cree un plan para revisar periódicamente estos pasos.