28 Ene 75 medidas de seguridad en base a la actual Ley de Protección de Datos Personales para prestar servicio a la Administración Pública
La adopción de medidas técnicas y organizativas apropiadas deja de ser suficiente desde la aprobación de la nueva LOPDGDD.
Llevamos en estos últimos meses dando información de utilidad sobre la nueva ley de protección de datos que lleva consigo una serie de cambios que adoptar para las empresas.
Desde la publicación del Reglamento General de Protección de Datos Personales, las empresas han venido realizando esfuerzos para adoptar medidas técnicas y organizativas “apropiadas” para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que tratan.
Pues bien, no quedan exentas empresas que presten servicios a las Administraciones Públicas, a las que ahora se les exige la adopción de las medidas de seguridad previstas en el Esquema Nacional de Seguridad que corresponda adoptar a la Administración Pública a la que se le vaya a prestar el servicio.
El ESN prevé un total de 75 medidas de seguridad que afectan tanto al marco organizativo de la entidad –p.e., la preparación de una política de seguridad- como al marco operacional –p.e., la realización de análisis de riesgos, la adquisición de componentes debidamente certificados- y al marco de las medias de protección en instalaciones e infraestructuras, equipos, comunicaciones y aplicaciones informáticas, entre otros.
Asimismo, los contratistas deberán formar suficientemente a su personal para que pueda cumplir debidamente con las medidas adoptadas, establecer un procedimiento de mejora continua del proceso de seguridad que incluye la realización de auditorías al menos cada 2 años y designar un responsable de la información, un responsable del servicio y un responsable de seguridad –cargos que deberán recaer, además, en tres personas diferenciadas, al ser cargos incompatibles.
Unas medidas que, sin duda, requerirán un notable esfuerzo para aquellos contratistas de menor tamaño.
