Finding The Hidden InfoSec Story

La Política de Privacitat ha d’anar com anell al dit

Photo Credit: Brenda Anderson via Compfight cc
Photo Credit: Brenda Anderson via Compfight cc

D’acord amb la normativa Europea de Protecció de Dades les empreses que tracten dades personals han d’implantar les mesures tècniques i organitzatives necessàries per tal de garantir la seva seguretat, confidencialitat, continuïtat i integritat.

No obstant això, un programa de privacitat i seguretat ha d’estar especialment dissenyat per a cada empresa o negoci. Com a norma general, no hi ha una solució única per a tothom.

Les polítiques de privacitat i seguretat s’han de fer a mida, tenint en compte diferents factors, com per exemple:

  • Sector d’activitat
  • Tipus de dades tractades
  • La visió que té l’empresa sobre la privadesa i seguretat
  • Les finalitats i els mitjans del tractament de les dades
  • El volum de l’empresa
  • La xarxa informàtica
  • El flux de dades internacionals
  • El càrrec o perfil dels treballadors
  • Etc.

El fet de disposar d’un programa de privacitat i seguretat especialment dissenyat d’acord amb unes característiques particulars, no tan sols ens permetrà cobrir les nostres necessitats, facilitant la implantació del programa i fent-lo durable en el  temps sinó que també, ens aportarà altres beneficis com per exemple, millorar l’empresa organitzativament, consolidar el compromís dels treballadors i al mateix temps, reforçar la confiança dels clients.

Exemple 1

Fa poc temps vaig visitar una empresa on estaven molt amoïnats pel tractament intern de les seves dades, donat que no feia gaire havien patit un ús no autoritzat de dades per part d’un ex treballador que il·legítimament havia guardat copies d’informació referent als clients de l’empresa i intentava fer-los competència deslleial.

L’empresa tractava dades personals dels seus treballadors, clients i proveïdors. En aquest cas, estaven especialment preocupats per les dades dels seus clients, però al tractar-se de persones jurídiques i no persones físiques, aquesta informació no s’interpretava com a “Dades personals” i per tant, la normativa de protecció de dades no resultava d’aplicació. Encara que els treballadors haguessin signat una clàusula de confidencialitat, legalment no seria suficient com per evitar una utilització no permesa d’aquestes dades. A Espanya i altres països Europeus, per tal d’eludir la competència deslleial per part dels treballadors, les empreses els han de fer signar un contracte de no competència i abonar-los una quota durant i després de la relació contractual.

Per tant, en aquest cas, algunes de les recomanacions van ser:

  • Millorar la seva xarxa informàtica per tal de restringir els controls d’accés a la informació per part dels usuaris i els seus privilegis. Per exemple, impossibilitant l ’execució de copies no permeses, bloquejant l’ús de dispositius personals o de memòries, filtrant l’ús del correu electrònic i internet, etc.
  • Tots els treballadors van signar la Política de Privadesa i Seguretat de l’organització a fi de fer-los coneixedors de totes aquestes mesures de control i vigilància, dels seus drets i obligacions i de les conseqüències derivades del mal ús de les dades.
  • També es va fer una avaluació per tal de determinar quins eren treballadors haurien de signar la clàusula de no – competència.

Exemple 2

Un escenari diferent va ser un centre sanitari que processava dades mèdiques dels seus pacients i alguns dels terapeutes que treballaven al centre, eren subcontractats. En aquest cas, la qüestió no era un problema de competència deslleial sinó de risc de filtració de dades, a la vista de que cada terapeuta utilitzava lliurement els seus propis dispositius informàtics per al tractament de les dades.

A més, en relació al tractament de dades de salut hi ha una sèrie de lleis especials que igualment resulten d’aplicació i que afecten al tractament de les dades, drets dels afectats, a l’organització de les dades, períodes de retenció, etc.

En aquest cas, els consells van ser:

  • Establir un protocol unificat per tal d’accedir a les dades dels pacients i emmagatzemar-les en un arxiu centralitzat d’acord amb la normativa específica referent a les dades de salut.
  • Implementar una política estricta de BYOD.
  • Organització de programes d’educació pels treballadors i terapeutes subcontractats per tal de conscienciar-los sobre  les qüestions i incidències relacionades amb la privacitat.
  • Signar un contracte entre el responsable del fitxer (el centre de salut) i cada encarregat del tractament (terapeutes subcontractats) especificant les finalitats i mitjans del tractament, drets i obligacions d’ambdues parts amb significants conseqüències en cas d’inobservança.
  • Etc.

És per això que, la Política de Privacitat ha d’anar com anell al dit; cada empresa té els seus propis problemes, característiques i sector d’activitat. Si la Política de Privacitat no es fa a mida, hi ha un risc que acabi tenint un ús pràctic mínim o inexistent. A més, sempre val la pena intentar mirar més enllà i visualitzar els problemes relacionats amb la privacitat des d’un angle més elevat, per tal de millorar no només la política de privacitat sinó també tota l’empresa, la seva organització, efectivitat, el seu bon nom, el compromís dels treballadors i la fidelització dels seus clients.

This analogy was originally published on July 28th and is available in the following alternative languages.

Union_Jack1 750px-Flag_of_Spain.svg

Author: Laura Vivet

Share This Post On