El proyecto que presentamos, de consultoría y proceso de adaptación a la LOPD, establece su línea de actuación apoyándose en tres pilares básicos, correspondiéndose cada uno de ellos, con un equipo conformado por profesionales especializados en cada una de las materias o niveles de actuación que se consideran imprescindibles:Jurídico, Técnico y Organizativo.

1. Consideraciones sobre el documento

2. Introducción

3. Situación actual

4. Propuesta del proyecto a la Red FOREM

5. Metodología

6. Fase de análisis

• 6.1. Análisis del Negocio y Objetivos de la Entidad
• 6.2. Análisis de las Entidades, Roles y Funciones implicadas en la actividad genérica de la Entidad
• 6.3. Análisis de las Necesidades de Obtención, Transmisión y Registro de Datos
• 6.4. Diseño del Diagrama de Flujo de Actividades/Datos (DFD – n.0)
• 6.5. Análisis de los Procesos Generales de la Actividad de la Entidad
• 6.6. Diseño del Diagrama de Flujo de Actividades/Datos (DFD – n.1)
• 6.7. Análisis de los Procesos Específicos de la Actividad de la Entidad
• 6.8. Diseño del Diagrama de Flujo de Procesos/Datos (DFD – n.2)
• 6.9. Análisis del Flujo de Información
• 6.10. Análisis de los Ficheros de Datos
• 6.11. Análisis General de la Situación de Cumplimiento y Riesgo potencial de la LOPD
• 6.12. Diseño del Diagrama de Deficiencias y Vulnerabilidades (DFD - n.3)
• 6.13. Verificación Final del Análisis-Resumen contrastado con la Entidad

7. Fase de Elaboración

• 7.1. Elaboración del Reglamento de medidas de seguridad de los ficheros que contengan datos de carácter personal (RD 994/1999)
• 7.2. Elaboración del Plan a Nivel Organizativo
• 7.3. Elaboración del Plan a Nivel Jurídico
• 7.4. Elaboración del Plan a Nivel Técnico

8. Fase de Implementación

• 8.1. Fase de Implementación Nivel Organizativo
• 8.2. Fase de Implementación Nivel Técnico

9. Fase de Formación

• 9.1. Fase de Formación a Responsables
• 9.2. Fase de Formación a Empleados, Proveedores y Usuarios en general
• 9.3. Propuesta de Proyecto Formativo

10. Planificación Inicial

11. Equipo del Proyecto

• 11.1. Equipo Organizativo-Coordinador
• 11.2. Equipo Jurídico
• 11.3. Equipo Técnico

La Ley Orgánica 15/1999, de 13/XII, de Protección de Datos de Carácter Personal (LOPD de aquí en adelante), y el Real Decreto 994/1999, de 11/VI (RD de aquí en adelante), por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal (Reglamento), son las dos disposiciones básicas de obligado cumplimiento para todas las empresas y profesionales que, en el desarrollo de su actividad, traten datos de carácter personal (además de otras normas complementarias de índole más sectorial). Así, por ejemplo, existe una normativa específica sobre grabación y soporte de datos, como establece el RD 99471999.

También debe conocerse y compararse la legislación Estatal al respecto con la diferente legislación autonómica que pudiese considerarse.

La LOPD define en el Real Decreto de Medidas de Seguridad, R4/1999 las medidas de seguridad informática que deben de implantar obligatoriamente todas las empresas que se estén adaptando a la Ley.

En este sentido, tal como fija la Disposición adicional I de la LOPD, “Todos los ficheros y tratamientos automatizados que contengan datos de carácter personal deberían haberse adecuado a la normativa referenciada en un plazo máximo de 3 años desde su entrada en vigor,

esto es, si la Ley entró en vigor un mes mas tarde de su publicación (14-12-1999) , todos los archivos que contengan datos del carácter descrito deberían haber quedado regularizados el 14 de Enero de 2003.

Todo aquello que no se halla adaptado desde ese momento a la citada normativa se encuentra en una situación de ilegalidad manifiesta.

En definitiva, la Ley exige el cumplimiento de los tres requisitos que a continuación se detallan.

Realizar una serie procedimientos legales, de notificación e inscripción previa ante la Agencia Española de Protección de Datos, así como la elaboración de una serie de protocolos y modelos de relaciones intra y extra unidad empresarial que corresponda.

Adaptar nuestros sistemas informáticos, con las medidas de seguridad mínimas que se detallan en el RD/994/1999, que se especificarán en nuestro Documento de Seguridad.

Y posibilitar desde el nivel organizativo la disposición y conocimiento de todas las medidas y adaptaciones que se han de llevar a cabo para la adaptación de nuestra realidad cotidiana a la legislación vigente, es decir, conseguir una adecuada incardinación entre los procesos de nuestros procedimientos de funcionamiento interno y el completo cumplimiento de lo dispuesto en la LOPD.

El proyecto que presentamos, establece su línea de actuación apoyándose en tres pilares básicos, correspondiéndose cada uno de ellos, con un equipo conformado por profesionales especializadas en cada una de las materias o niveles de actuación que se consideran imprescindibles: Jurídico, técnico y organizativo.

Los Datos de Carácter Personal, quedan definidos, como cualquier información concerniente a una persona física identificada o identificable, en función de la información que sobre ella se maneje.

Con independencia de la graduación; alta, media, o baja sobre la privacidad o protección de los datos en función de los aspectos que puedan revelar.

La definición contenida en la norma es de tal amplitud que, como el funcionamiento de toda empresa requiere la disposición y manejo de datos considerados de “carácter personal”, desde

los datos relativos a los trabajadores, para la confección de nominas o carrera profesional, hasta los datos relativos a clientes o proveedores, para facturación, etc., y dadas las facilidades que la ofimática ofrece, con frecuencia se generan archivos e informaciones sobre los que la Ley exige protección.

En definitiva, la totalidad de las empresas españolas precisan una adecuación de sus procesamientos de información a la norma, que les resuelva preguntas tan elementales como:

¿Qué obligaciones tienen las empresas?

¿Cómo se pueden recoger los datos?

¿Cuándo se pueden ceder o comunicar?

Análisis y evaluación de la entidad cliente.

Gestión de la Inscripción de Ficheros en la AEPD.

Elaboración del Documento de Seguridad y procedimientos necesarios.

Regularización de los Movimientos de Datos con Terceros.

Implantación de Soluciones Técnicas Requeridas.

Implantación de las Medidas de Seguridad Requeridas.

Plan de Formación específico.

Auditoria Bienal.