Serveis de protecció de dades


Ateneu ofereix els seus serveis d'adaptació a les normatives de privacitat a tot tipus d'organitzacions i entitats de titularitat privada o pública, siguin empreses, professionals, associacions, etc.

Tant microempreses com grans corporacions, tenen amb Ateneu un perfecte aliat que els ajudarà a comprendre la legislació i a facilitar el seu compliment.

El procés d'adequació a la normativa se pot realitzar tant a casa del client (in situ) com mitjançant accés remot (online*) i les dues modalitats es poden desenvolupar per a qualsevol tipus d'organització amb total garantia d'eficiència i eficàcia.

*Plataforma d'accés remot: per a Windows i per a macOS.

Adaptació

Ateneu ofereix un servei integral d'assessorament, gestió i manteniment tècnica-legal per a l'adaptació i actualització d'empreses i professionals a les normatives de privacitat, que inclou la formació del responsable, l'accés a consultoria i la realització de les auditories que obliga la legislació vigent.

Ateneu aplica els seus coneixements per a informar i explicar tot el procés d'adaptació al seu interlocutor, amb el fi d'optimitzar els processos de seguretat dels sistemes informàtics i de l'estructuració de la documentació.

Adaptació/actualització (GDPR-LOPDGDD-LSSI) Assessorament/manteniment (GDPR-LOPDGDD-LSSI)
  • Realització de l'adaptació conjuntament amb el client
  • Recollida, comprovació i introducció de dades a l'aplicació online PRIVACY DRIVER
  • Auditoria dels sistemes de seguretat implantats per a complir amb la normativa GDPR-LOPDGDD
  • Estructuració tècnica-organitzativa de l'empresa per departaments
  • Elaboració del Registre d'activitats i documentació relacionada
  • Adopció de les mesures de seguretat necessàries per a complir amb la normativa vigent
  • Implantació del deure d'informació i exercici dels drets dels interessats en l'empresa i a la web
  • Elaboració de contractes de confidencialitat amb personal i empreses externes
  • Activació dels registres d'incidències i peticions de drets dels interessats
  • Formació al Responsable en la utilització de la documentació generada
  • Assessorament/Manteniment Gratuït durant el 1r any de contracte
  • Accés a l'aplicació informàtica online PRIVACY DRIVER
  • Actualització online del Document de Seguretat, annexos i documentació relacionada
  • Accés a plantilles per la confecció de contractes, clàusules, etc. d'obligat compliment
  • Revisió, previ avís, dels canvis interns tècnic-organitzatius i gestió de registres
  • Creació, modificació i eliminació de fitxers de dades personals
  • Solució dels requeriments dels drets dels interessats
  • Actualització de l'organització als canvis de normativa en protecció de dades
  • Suport tècnic d'ús i funcionament de PRIVACY DRIVER
  • Suport legal per a resoldre qualsevol dubte i incidència relativa al compliment de la legislació en protecció de dades

Delegat de Protecció de Dades (DPO)

El DPO exercirà les seves funcions prestant la deguda atenció als riscos associats a les operacions de tractament realitzades pel client, tenint en compte la naturalesa, l'abast, el context i fins del tractament.

Servei de Delegat de Protecció de Dades (DPO)
  • Informar i assessorar el personal del client de les obligacions que els incumbeixen relatives a les normatives de privacitat.
  • Supervisar:
    • L'assignació de responsabilitats entre el personal del client.
    • La conscienciació i formació del personal que participa en el tractament.
    • El compliment del que disposen les normatives de privacitat vigents.
    • Les polítiques i auditories en matèria de protecció de dades.
  • Actuar com a punt de contacte amb l'Autoritat de control i cooperar amb ella.
  • Actuar com a punt de contacte amb els interessats pel que fa al tractament de les seves dades i l'exercici dels seus drets.
  • En el cas que el client realitzi una DPIA, el DPO tindrà les següents funcions:
    • Assessorar sobre la DPIA formant part de l'equip redactor.
    • Realitzar la consulta prèvia a l'autoritat de control i procedir a la seva seguiment.
    • Supervisar l'aplicació de la DPIA.

Avaluació d'Impacte (DPIA/EIPD)

El Reglament (UE) 2016/679 de 27 d'abril de 2016 (GDPR) disposa en l'article 35 que el responsable del tractament haurà de realitzar, abans del tractament, una avaluació de l'impacte de les operacions de tractament en la protecció de dades personals, quan sigui probable que un tipus de tractament comporti un alt risc per als drets i llibertats de les persones físiques.

En aquest sentit, s'analitzaran els riscos relatius a la protecció de dades per tal d'adoptar les mesures per afrontar els riscos, incloses garanties, mesures de seguretat i mecanismes que garanteixin la protecció de dades personals conforme el que disposa el GDPR, tenint en compte els drets i interessos legítims de les persones afectades pel tractament.

Elaboració d'una Avaluació d'Impacte relativa a la Protecció de Dades (DPIA)
  • Compondre l'equip que elaborarà la DPIA.
  • Determinar l'obligació de realitzar la DPIA.
  • Identificar els tractaments susceptibles d'alt risc.
  • Determinar els objectius i finalitats del tractament.
  • Avaluar la necessitat i la proporcionalitat del tractament pel que fa a la seva finalitat.
  • Analitzar els riscos previstos i les situacions de risc de les operacions de tractament.
  • Determinar la necessitat de realitzar un procés de consultes als interessats.
  • Avaluar l'impacte del tractament per als drets i llibertats dels interessats.
  • Determinar els mecanismes destinats a garantir la protecció de dades.
  • Establir mesures de seguretat per mitigar els riscos del tractament.
  • Realitzar una previsió per revisar l'avaluació d'impacte.
  • Redactar un informe de la DPIA.

Consultoria

Ateneu ofereix un servei de consultoria per al desenvolupament dels processos de tractament de dades personals. El personal consultor d'Ateneu està compost per tècnics especialitzats en protecció de dades i està estretament relacionat amb diverses organitzacions dedicades exclusivament a aquests assumptes per aportar solucions a tots els problemes i consultes que es puguin presentar.


La consultoria, a més de l'assessorament tècnic i legal, proposa l'elaboració de tota la documentació necessària per a la concreció de les responsabilitats que afecten al tractament i ús de les dades per part de persones i empreses, confeccionant els acords, contractes, clàusules, etc. que corresponguin a cada cas, segons el tipus de tractament o ús que es faci de les dades a les que es té accés.

Consultoria tècnica i legal de privacitat
  • Elaboració de la documentació requerida
  • Revisió i actualització de la documentació
  • Resolució de dubtes i qüestions
  • Reacció davant sancions de l'AEPD (Agència Espanyola de Protecció de Dades)

Auditoria

Ateneu ofereix un servei d'auditoria de compliment de la normativa, aplicant un protocol propi d'actuació, que segueix les prerrogatives definides pel reglament de l'AEPD (Agència Espanyola de Protecció de Dades), per a que el resultat final sigui fiable i concloent i, sobretot, identifiqui les males pràctiques i els defectes de seguretat de l'organització, per a definir i adoptar les mesures alternatives i/o correctores a aplicar.


Mitjançant l'aplicació PRIVACY DRIVER, el mateix responsable de l'empresa pot realitzar les auditories que cregui oportunes, sense que cap agent extern intervingui, amb el fi que la seva tasca sigui responsable i efectiva. Es recomana realitzar una auditoria cada 2 anys, sent aquest període el màxim permès per a organitzacions que tracten dades amb un nivell de seguretat mitjà o alt (dades protegides).

Auditoria de protecció de dades (GDPR-LOPDGDD-LSSI) Auditoria de pàgina web (LSSICE-LCM)
  • Realització de l'auditoria conjuntament amb el client
  • Revisió de més de 100 conceptes referents al compliment de les normatives GDPR-LOPDGDD:
    • Actualització dels tractaments i documentació referida
    • Registre o estructura dels fitxers de dades personals
    • Recursos utilitzats pel tractament de dades
    • Mesures de seguretat en suports digitals i documentals
    • Procediments utilitzats en el tractament de dades
    • Realització de còpies de seguretat
    • Encarregats del tractament: personal i empreses externes
    • Implementació del deure d'informació
    • Registres d'incidències i peticions dels drets dels interessats
  • Detecció de deficiències (lleus/greus) i advertències segons la seva transcendència
  • Elaboració d'un informe amb el resultat de tots els conceptes auditats
  • Detall dels conceptes a revisar i corregir amb les mesures correctores a aplicar
  • Realització de l'auditoria conjuntament amb el client
  • Elaboració de tota la documentació necessària per al compliment de la normativa vigent a la web i correu electrònic
  • Documentació personalitzada amb les dades de l'organització:
    • Avís legal
    • Política de Privacitat
    • Política de Privacitat en xarxes socials
    • Política de cookies i procediments per a la seva implantació
    • Clàusules de privacitat a implantar en formularis d'obtenció de dades
    • Condicions generals de contractació, venda i mètodes de pagament (botigues virtuals)
  • Documentació personalitzada i específica per a:
    • Pàgina web corporativa
    • Pàgina web amb activitat reglada (llicenciats)
    • Botiga virtual (inclou el compliment de la LOMC, la Llei del Comerç Minorista)

Formació

Les dades de caràcter personal són privades i les persones les cedeixen a les empreses per a establir una relació comercial, laboral, etc. Les empreses han de conscienciar-se que aquestes dades no els pertanyen, que els han estat cedides per a una finalitat concreta i que tenen el deure de protegir-les perquè no es faci un mal ús i es tractin exclusivament per a la finalitat per la que s'han obtingut.

Els àmbits instructius que proposa Ateneu van, des la formació dels responsables i persones que tracten dades personals, fins la publicació de notícies, accés a bases de dades de coneixements, participació a blogs de discussions, seguiment de xarxes socials, etc. per tal d'estar al corrent i compartir la informació amb tot el relacionat amb la protecció de dades personals.

Formació en protecció de dades
  • Pimes, grans empreses, grups empresarials
  • Ajuntaments, diputacions, institucions públiques
  • Col·legis oficials, cambres de comerç, associacions
  • Universitats, centres de formació

Serveis externs de privacitat

Els serveis externs de privacitat es realitzen amb la col·laboració de 1nO, que compta amb les certificacions de més reconegut prestigi en l'àmbit de l'auditoria de sistemes d'informació i seguretat informàtica.

Entre les certificacions que mantenen els nostres professionals s'hi troben: CISA, CISM, CGEIT, CRISC, CISSP, ISO 270001 Lead Auditor, ISO 20000 Lead Auditor, ISO 22301 Lead Auditor, ITIL V3 Foundation, CCNA, OPST, Certified Data Privacy Profesional (CDPP), etc.

Auditoria externa (GDPR-LOPDGDD) Sistemes de Gestió ISO
  • Revisió dels Principis relatius al tractament
  • Revisió de la Licitud del tractament
  • Revisió de l'obtenció del Consentiment
  • Revisió dels Drets ARCOPOL
  • Revisió de la Protecció de dades des del disseny y per defecte
  • Revisió de les bretxes de seguretat
  • Revisió del Registre d'activitats de tractament
  • Revisió dels Encarregats del tractament
  • Revisió de les transferències internacionals de dades
  • Revisió de l'Anàlisi de riscos i Avaluacions d'Impacte de privacitat
  • Revisió del Delegat de Protecció de Dades, en cas d'existir
  • Revisió del Sistema de Gestió de Protecció de Dades
  • Revisió de les mesures de seguretat implantades
  • Revisió de les mesures organitzatives implementades
  • Anàlisi diferencial respecte la norma
  • Desenvolupament de procediments, controls i mètriques
  • Implantació dels Sistemes de Gestió
  • Auditoria interna / Assessoria prèvia a certificació
  • Manteniment integral
  • Integració dels diferents Sistemes de Gestió ISO
Pla de Ciberseguretat
  • Anàlisi de riscos de ciberseguretat
  • Anàlisis GAP respecte les Polítiques, Normes i Procediments
  • Anàlisi Seguretat Tècnica: plataformes corporatives, test d'intrusió (Pen-test), aplicacions, entorns Web i xarxes Wireless
  • Anàlisi Seguretat Física
  • Anàlisi Enginyeria Social
Pla d'ENS i ENI
  • Adequació a l'Esquema Nacional de Seguretat
  • Adequació a l'Esquema Nacional d'Interoperabilitat
  • Auditoria de l'ENS / ENI
  • Manteniment integral dels Esquemes Nacionals