¿QUIERE GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN EN SU EMPRESA? ISO 27001 ES SU RESPUESTA

Comparte: Facebooktwittergoogle_pluslinkedin

Hoy día, con la digitalización del mundo empresarial, se hace indispensable para una empresa mantener la seguridad de la información, y de hecho son muchas las normas dirigidas a este fin y que permiten regular distintos aspectos en materia de seguridad, como puede ser la protección de datos de carácter personal, el comercio electrónico…o muchos otros.

Pues bien, ISO 27001 es la norma internacional certificable que define los requisitos que debe tener un Sistema de Gestión de Seguridad de la Información (SGSI), y que por tanto, englobaría el cumplimiento de todos aquellos requisitos en materia de seguridad de la información regulados por normativas. Por tanto, implantar esta norma posibilitaría a la empresa demostrar a sus clientes que gestiona adecuadamente la seguridad de la información que maneja, que cumple con la normativa vigente y además que está disminuyendo los riesgos de fraude, y de pérdida o filtración de información.

ISO 27001 se basa en la gestión de riesgos, es decir que, los identifica, los evalúa y luego establece las medidas necesarias para tratarlos. Y es una norma recomendable para cualquier tipo de empresa y de cualquier sector siendo especialmente interesante para empresas del sector financiero, sanitario, publico, de tecnologías de la información (TI) y subcontratas que gestionen información por encargo de otros ya que estas manejan información muy detalla de clientes, proveedores, pacientes…

Los principales beneficios que logran las empresas que implantan un Sistema de Gestión de la Seguridad de la Información (SGSI) bajo la Norma ISO/IEC 27001 son:

  • Evidenciar el cumplimiento de la legislación vigente.
  • Demostrar a los clientes que la seguridad de la información es fundamental para la organización
  • Verificar que los posibles riesgos a los cuales se enfrenta la empresa, están identificados, evaluados y gestionados, garantizando la seguridad de la información que maneja…
  • Cumplir con el principio de Responsabilidad proactiva, que tan de moda se ha puesto a raíz de la entrada en vigor del Reglamento General de Protección de Datos, y que nos obliga a tener que demostrar que cumplimos con la norma.

Y quizá, una de las ventajas que presenta esta norma, sea que se puede adaptar a cada empresa, en función de sus características y las necesidades que tenga en materia de seguridad de la información.

¿Quiere garantizar la seguridad de la información que maneja en su empresa? Contacte con nosotros, estaremos encantados de asesorarle.

Foto: onlyyouqj

LA ADAPTACIÓN AL RGPD PUEDE TENER PREMIO

Comparte: Facebooktwittergoogle_pluslinkedin

La Agencia Española de Protección de Datos (AEPD) ha convocado una nueva edición de los ‘Premios Protección de Datos Personales 2018’. En esta ocasión se incluye nuevas categorías como:

  • Categoría de Buenas Prácticas sobre Iniciativas para adaptarse al Reglamento
  • Comunicación,
  • Buenas Prácticas Educativas para el uso seguro de internet por los menores
  • Investigación Emilio Aced.

Con estas categorías, la AEPD pretende reconocer el trabajo realizado en distintos ámbitos de nuestra sociedad para proteger el derecho de los individuos a que sus datos personales estén seguros. Concretamente quiere valorar el esfuerzo llevado a cabo en el ámbito educativo, empresarial, científico, en los medios de comunicación y/o en las administraciones públicas.

Las empresas del sector privado pueden presentarse al Premio a las Buenas prácticas sobre iniciativas para adaptarse al Reglamento, en el que se valorarán principalmente aquellas iniciativas en las que la adaptación al RGPD haya presentado una mayor dificultad,  por tratarse de empresas que realizan tratamientos de datos de alto riesgo.  El plazo para la presentación de candidaturas finalizará el 30 de noviembre.

La AEPD quiere reconocer el esfuerzo de las empresas porque la adaptación al Reglamento les ha supuesto incorporar en el día a día de su actividad las medidas de seguridad necesarias para proteger los datos de carácter personal, siendo por tanto, la protección de datos un aspecto más que se asume la empresa dentro de su filosofía y política. El Reglamento además obliga a que la empresa implante medidas de evaluación y seguimiento continuas que permitan acreditar el cumplimiento de este, lo que les supone grandes esfuerzos de adaptación.

Si su empresa aún no se ha adaptado al RGPD o no sabe cómo demostrar que cumple con la responsabilidad proactiva que se le exige, llámenos.

Foto: rawpixel.com

AMPLIADO EL PLAZO PARA SOLICITAR LAS AYUDAS QUE LE PERMITIRÁN IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD LABORAL EN SU EMPRESA

Comparte: Facebooktwittergoogle_pluslinkedin

La Consejería de empleo, empresa y comercio quiere fomentar el desarrollo de proyectos de mejora en prevención de riesgos laborales a través de incentivos dirigidos a PYMES de la comunidad autónoma de Andalucía, en régimen de concurrencia competitiva.

Han establecido dos líneas de beneficiarios:

  • Línea A: PYMEs que desarrollan actividades económicas que durante 2017 reflejaron en la Comunidad Autónoma de Andalucía mayores índices de incidencia por accidentes de trabajo y/o enfermedades profesionales. La financiación total destinada a esta línea es de 2.920.000 €.
  • Línea B: PYMEs que desarrollan actividades económicas del sector industrial de Andalucía, integrado por la industria manufacturera y los servicios avanzados vinculados a procesos y productos industriales que se especifican. La financiación total destinada a esta línea es de 2.660.000 €.

¿QUÉ PROYECTOS O ACTIVIDADES SON SUBVENCIONABLES?

Existen dos modalidades a las que podrán acogerse los distintos proyectos:

  • Modalidad M1. Actividades y proyectos que contemplen inversiones dirigidas a la incorporación de medidas especificadas en la planificación preventiva de la empresa. Las ayudas irán de 1500 a 15000 €.
  • Modalidad M2. Actividades y proyectos que contribuyan a la mejora de la integración de la prevención de riesgos laborales en la empresa y/o al cumplimiento más eficaz de la normativa de prevención, así como proyectos innovadores y/o de desarrollo de buenas prácticas preventivas que contribuyan de forma significativa a la mejora de la seguridad y la salud laboral en los centros de trabajo. Las ayudas irán de 1200 a 12000 €. Y en esta segunda modalidad, se contempla en el apartado c) Diseño, implantación y certificación por primera vez en la empresa de Sistemas de Gestión de Seguridad y Salud LaboralPor lo que es subvencionable la implantación de un Sistema de Gestión de seguridad y salud en base a la norma ISO 45001.

El plazo para presentar las solicitudes se ha ampliado hasta el 4 de septiembre de 2018, así que no desaproveche la oportunidad y presente su solicitud mediante registro electrónico, a través del enlace facilitado por la Junta de Andalucía: http://juntadeandalucia.es/organismos/empleoempresaycomercio/servicios/procedimientos/detalle/523/datos-basicos.html

El plazo de resolución será de seis meses a partir del día siguiente al de finalización del plazo para la presentación de solicitudes.

Si desea solicitarla y necesita presupuesto de diseño e implantación de un sistema de gestión según la norma ISO 45001 contacte con nosotros sin compromiso.

Foto: freepik

¿QUIERE IMPLANTAR UN SISTEMA DE GESTIÓN DE LA SEGURIDAD Y SALUD LABORAL EN SU EMPRESA? APROVECHE LA SUBVENCIÓN DE LA JUNTA DE ANDALUCÍA

Comparte: Facebooktwittergoogle_pluslinkedin

La Consejería de empleo, empresa y comercio quiere fomentar el desarrollo de proyectos de mejora en prevención de riesgos laborales a través de incentivos dirigidos a PYMES de la comunidad autónoma de Andalucía, en régimen de concurrencia competitiva.

Han establecido dos líneas de beneficiarios:

  • Línea A: PYMEs que desarrollan actividades económicas que durante 2017 reflejaron en la Comunidad Autónoma de Andalucía mayores índices de incidencia por accidentes de trabajo y/o enfermedades profesionales. La financiación total destinada a esta línea es de 2.920.000 €.
  • Línea B: PYMEs que desarrollan actividades económicas del sector industrial de Andalucía, integrado por la industria manufacturera y los servicios avanzados vinculados a procesos y productos industriales que se especifican. La financiación total destinada a esta línea es de 2.660.000 €.

¿QUÉ PROYECTOS O ACTIVIDADES SON SUBVENCIONABLES?

Existen dos modalidades a las que podrán acogerse los distintos proyectos:

  • Modalidad M1. Actividades y proyectos que contemplen inversiones dirigidas a la incorporación de medidas especificadas en la planificación preventiva de la empresa. Las ayudas irán de 1500 a 15000 €.
  • Modalidad M2. Actividades y proyectos que contribuyan a la mejora de la integración de la prevención de riesgos laborales en la empresa y/o al cumplimiento más eficaz de la normativa de prevención, así como proyectos innovadores y/o de desarrollo de buenas prácticas preventivas que contribuyan de forma significativa a la mejora de la seguridad y la salud laboral en los centros de trabajo. Las ayudas irán de 1200 a 12000 €. Y en esta segunda modalidad, se contempla en el apartado c) Diseño, implantación y certificación por primera vez en la empresa de Sistemas de Gestión de Seguridad y Salud LaboralPor lo que es subvencionable la implantación de un Sistema de Gestión de seguridad y salud en base a la norma ISO 45001.

La fecha límite para presentar las solicitudes será el próximo 20 de agosto de 2018, así que no desaproveche la oportunidad y presente su solicitud mediante registro electrónico, a través del enlace facilitado por la Junta de Andalucía: http://juntadeandalucia.es/organismos/empleoempresaycomercio/servicios/procedimientos/detalle/523/datos-basicos.html

El plazo de resolución será de seis meses a partir del día siguiente al de finalización del plazo para la presentación de solicitudes.

Si desea solicitarla y necesita presupuesto de diseño e implantación de un sistema de gestión según la norma ISO 45001 contacte con nosotros sin compromiso.

FOTO: freepik

EVALUACIÓN DEL DESEMPEÑO EN ISO 45001

Comparte: Facebooktwittergoogle_pluslinkedin

La norma ISO 45001 de Sistemas de Gestión de la Seguridad y Salud en el trabajo desarrolla, en su apartado 9, la importancia de llevar a cabo la evaluación del desempeño, que se deberá realizar en base a criterios previamente establecidos y para ello una organización tendrá que implementar procesos de:

  • Seguimiento, medición, análisis y evaluación: para lo que será necesario asegurar el cumplimiento de los requisitos legales y otros requisitos, y establecer indicadores que permitan evaluar la correcta implementación de los procesos, la eficacia de los controles establecidos para los peligros y riesgos e incluso que permitan detectar oportunidades de mejora.
  • Auditoría interna: la empresa deberá llevar a cabo auditorías a intervalos planificados, estableciendo responsabilidades y evaluando el cumplimiento de la norma en todos los procesos de la organización. Y dará como resultado un informe a tener en cuenta para la mejora continua de la organización.
  • Revisión del Sistema por la Dirección: la organización debe realizar revisiones periódicas del sistema de gestión de seguridad y salud para comprobar la eficacia y adecuación del mismo a los requisitos de la norma y a los procesos de la organización.

Y ¿qué beneficios puede aportar ISO 45001 a tu empresa?

Una empresa que implanta un Sistema de Gestión de Seguridad y Salud en el trabajo según la norma ISO 45001 y que evalúa adecuadamente el desempeño del mimo, podrá:

  • Reducir e incluso, eliminar en algunos casos, los riesgos y peligros para la seguridad y salud que se deriven de su actividad.
  • Disminuir los accidentes e incidentes relacionados con el trabajo.
  • Mejorar el desempeño de su sistema de gestión mediante la evaluación continua

Foto: freepik

 

ISO 45001 ANTE EL ETERNO RETO DE IMPLICAR A LOS TRABAJADORES

Comparte: Facebooktwittergoogle_pluslinkedin

La legislación española en materia de prevención de riesgos laborales determina que los trabajadores tienen derecho a participar en las cuestiones relacionadas con la prevención de riesgos laborales que afecten a su empresa. Y la nueva norma ISO 45001 Sistemas de Gestión de Seguridad y Salud en el trabajo, siguiendo esta misma línea va un paso más allá que su antecesora, la OHSAS 18001. En su artículo 5.4 la nueva ISO establece que la empresa tiene que establecer, implantar y mantener procesos para la consulta y la participación de los empleados a diferentes niveles y funciones aplicables, y cuando existan, de los responsables de los empleados en el desarrollo, planificación, implantación, evaluación del desempeño y acciones para la mejora del sistema de gestión.

La empresa deberá definir unos procedimientos que establezcan la sistemática a seguir para la participación y consulta de los trabajadores en lo referente a la gestión de la seguridad y salud en el trabajo, y que la conviertan en una práctica habitual y periódica y no en algo puntual.  Además, para el correcto cumplimiento de la norma se tendrá en cuenta la implicación de todos los niveles jerárquicos de la organización, desde la dirección hasta los técnicos u operarios.

Algunos de los temas sobre los que realizar consulta pueden ser:

  • La definición de una política de seguridad y salud
  • Identificación de partes interesadas
  • Determinación de funciones y responsabilidades
  • Establecimiento de objetivos

Por otro lado, se podrían aplicar los procesos de participación en:

  • Identificación y evaluación de riesgos y oportunidades
  • Definir las acciones a llevar a cabo para eliminar o controlar los riesgos.
  • Planificar las acciones formativas en función de las necesidades de cada puesto de trabajo.
  • Detección de no conformidades e incluso en la investigación de accidentes.
  • La definición de las acciones correctivas más adecuadas para las no conformidades detectadas.

En definitiva, la ISO 45001, otorga una gran importancia a la capacidad que demuestre una organización para implicar a sus trabajadores en la gestión de la seguridad y salud en el trabajo, valorando que se capaz de implantar procesos efectivos de consulta y participación.

Foto: vectorpocket

EL ANÁLISIS DEL CONTEXTO DE LA ORGANIZACIÓN EN LA ISO 45001

Comparte: Facebooktwittergoogle_pluslinkedin

Como ya hemos comentado en entradas anteriores, la norma ISO 45001: 2018 Sistemas de gestión de la Seguridad y Salud en el trabajo sigue la misma estructura de alto nivel que las normas ISO 9001 y ISO 14001. Pues bien, en su apartado 4. Contexto de la Organización, la norma especifica que la empresa tiene que establecer las cuestiones tanto externas como internas que sean pertinentes para su propósito y que puedan afectar a la capacidad de conseguir los resultados previstos de su Sistema de Gestión de Seguridad y Salud en el Trabajo.

Para realizar un buen análisis del contexto, la organización debe pensar en todos los factores que puedan afectar de forma negativa o positiva al desempeño de la organización y a la consecución de los objetivos planificados. Se debe identificar todo aquello que la rodea, y analizar en qué forma pueden impactar estos factores sobre la gestión de la seguridad y salud laboral de la organización.

Algunos ejemplos de factores a analizar pueden ser:

Internos

  • Factores de organización y estructura de la empresa
  • Funciones y responsabilidades
  • La política y objetivos de la organización
  • Trabajadores y ambiente de trabajo (compromiso con la política, condiciones negociadas, horarios, conciliación, motivación…)
  • Estrategia de la organización
  • Tecnología y recursos existentes
  • Nuevos productos o servicios

Externos

  • Requisitos legales
  • Factores sociales e incluso políticos
  • Cuestiones regionales y locales
  • Competencia y condiciones del mercado
  • Factores económicos

El análisis de todos los factores que influyen en el contexto de la organización nos permitirá definir un Sistema de Gestión de las Seguridad y Salud encaminado a mejorar el desempeño de la organización en este campo.

Foto: freepik

¿POR QUÉ TODAS LAS EMPRESAS ESTÁN PIDIENDO AUTORIZACIÓN PARA PODER TRATAR DATOS DE CARÁCTER PERSONAL?

Comparte: Facebooktwittergoogle_pluslinkedin

La antigua Ley Orgánica de Protección de datos (LOPD) , que dejó de estar en vigor el pasado 25 de mayo, permitía el consentimiento tácito para el tratamiento de datos, es decir, que si una empresa recibía datos por parte de un cliente, se daba por hecho que ésta podía hacer usos de ellos.

Sin embargo, con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) adquiere gran relevancia el hecho de obtener el consentimiento por parte del interesado para el tratamiento de sus datos personales, dejando de admitirse el consentimiento tácito o sobreentendido.

En el artículo 4.11 del RGPD se define el consentimiento como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Así, de acuerdo con el principio de Responsabilidad Proactiva y al añadir el adjetivo inequívoco, se está obligando a las empresas a disponer de una prueba que demuestre que dispone del consentimiento por parte del interesado para tratar sus datos.

Y ha sido este artículo 4.11, el que ha motivado el bombardeo, vía mail principalmente, que todos estamos recibiendo por parte de distintas empresas, que pretenden conseguir nuestro consentimiento de una manera inequívoca.

Pero, ¿siempre debe obtenerse dicho consentimiento inequívoco?

El RGPD establece en el artículo 6, que el tratamiento sólo será lícito si se cumple al menos una de las condiciones siguientes:

  • el interesado dio su consentimiento
  • el tratamiento es necesario para la ejecución de un contratoen el que el interesado es parte
  • el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
  • el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
  • el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Por tanto, el RGPD también define supuestos en los que el tratamiento será lícito sin necesidad de disponer del consentimiento inequívoco, siendo quizá, el más relevante para las pequeñas y medianas empresas, aquel que indica que será lícito el tratamiento que sea necesario para la ejecución de un contrato en el que el interesado sea parte.

Imagen: el Taller del Bit

¿QUÉ ES EL REGISTRO DE ACTIVIDADES DE TRATAMIENTO Y QUÉ DEBE CONTENER?

Comparte: Facebooktwittergoogle_pluslinkedin

El Reglamento Europeo de Protección de datos  entiende por tratamiento “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, efectuadas o no mediante procedimientos automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Pues bien, el RGPD en su artículo 30, establece que “Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.”. Y esto quiere decir que las empresas deberán controlar de una manera proactiva los registros donde se especifiquen los datos que tratan y cómo los tratan, puesto que ya se ha eliminado la obligatoriedad de registrar los ficheros en la Agencia Española de Protección de Datos.

En este mismo artículo, se establece también qué información deberá contener dicho registro:

“(…) Dicho registro deberá contener toda la información indicada a continuación:

  1. a) el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  2. b) los fines del tratamiento;
  3. c) una descripción de las categorías de interesados y de las categorías de datos personales;
  4. d) las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  5. e) en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, la documentación de garantías adecuadas;
  6. f) cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  7. g) cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.”

La Agencia Española de Protección de Datos (AEPD) ha publicado una “Guía del Reglamento General de Protección de Datos para responsables de tratamiento” en la que indica que,  partir de los ficheros que actualmente tienen notificados los responsables en el Registro General de Protección de Datos, puede ser una buena opción para organizar el registro de actividades de tratamiento.

¿Y Es obligatorio?

En principio, están exentas de llevar un Registro de Actividades de Tratamientos las empresas   que tenga menos de 250 empleados, salvo que el tratamiento que realicen de los datos pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.

A pesar de esto, y dado la importancia que el RGPD otorga a la responsabilidad proactiva de la empresa, puede ser recomendable realizar dicho registro, aunque no sea obligatorio.

 

Foto: JUNGLEDRUMS Magazine

¿QUÉ DERECHOS INTRODUCE EL NUEVO REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS?

Comparte: Facebooktwittergoogle_pluslinkedin

Hasta el momento, los derechos fundamentales de los ciudadanos respecto a la protección de datos de carácter personal venían otorgados por la Ley Orgánica 15/1999 de Protección de Datos (LOPD) y eran conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Pero a partir del 25 de mayo, con la aplicación del Nuevo Reglamento Europeo (RGPD), se introducen nuevos derechos que permitirán mejorar la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

Los derechos que los ciudadanos podrán ejercer ante los responsables de tratamiento de estos serán:

  • Derecho de acceso. El interesado tiene derecho a obtener una copia de los datos personales objeto del tratamiento, siempre y cuando, no afecte negativamente a los derechos y libertades de otros.
  • Derecho de rectificación. Al igual que el actual derecho de rectificación, los usuarios tienen la oportunidad de rectificar los datos incorrectos, o bien completar la información que sea incompleta.
  • Derecho de supresión o derecho al olvido. El ciudadano podrá solicitar que sus datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.
  • Derecho a la limitación de tratamiento. Podrá ejercerse en varias condiciones, entre otras, cuando se cumplan los datos ya no son necesarios para el tratamiento, que también determinará su borrado, pero el interesado solicita la limitación porque los necesita para la formulación, el ejercicio o la defensa de reclamaciones.
  • Derecho de oposición. Similar al actual derecho de oposición, los usuarios tendrán el derecho a oponerse en cualquier momento a que sus datos personales sean objeto de tratamiento. Además, introduce ese derecho de oposición cuando el tratamiento de los datos tiene una finalidad de mercadotecnia directa.
  • Derecho a la portabilidad de los datos. Este derecho hace que los datos se trasmitan de un responsable a otro responsable sin necesidad de que se envíen al interesado.

Estos son los derechos que tendrás a partir del 25 de mayo, así que el tratamiento que se le dé a tus datos dependerá en parte de ti.

 

Foto: Elizabeth Donald