Elaboración de una guía de buenas prácticas en protección de datos para pequeñas empresas

Abstract

[ES] El trabajo consiste en la realización de una guía de buenas prácticas en materia de protección de datos y de ciberseguridad para pequeñas y medianas empresas, con el objetivo de facilitar el cumplimiento de las medidas de seguridad establecidas en las diferentes normativas para el responsable de datos de una empresa. Los ejes básicos son la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) a nivel nacional y el Reglamento 2016/679 o Reglamento General de Protección de Datos (RGPD) a nivel europeo, así como las distintas guías y consejos de actuación ante diferentes situaciones que elaboran la AEPD y el CCN-CERT de temas mucho más específicos. Se hace un repaso de los principales aspectos a tener en cuenta desde una organización para tratar los datos de terceros de forma correcta, cumpliendo con la normativa vigente y mitigando el riesgo de sufrir brechas de seguridad, así como de reducir el daño provocado a los afectados y a la propia organización en caso de que se produzca una violación de seguridad. Así mismo, se ofrece un marco sencillo y eficaz para detectar brechas en el campo de la protección de los datos. Esto es, un cuestionario que permite la autoevaluación de la situación de la empresa en materia de seguridad informática y protección de datos, para el posterior análisis y contacto con expertos en caso de ser necesario.

[EN] The work consists of preparing a guide to good practices in data protection and cybersecurity for small and medium-sized companies, with the aim of facilitating compliance with the security measures established in the different regulations for the data controller of a company. The basic axes are the Organic Law 3/2018 of December 5, Protection of Personal Data and guarantee of digital rights (LOPDGDD) at the national level and Regulation 2016/679 or General Data Protection Regulation (GDPR) at the national level. European Union, as well as the different guides and advice for action in different situations that the AEPD and the CCN-CERT elaborate on much more specific topics. A review is made of the main aspects to consider from an organization to treat third party data correctly, complying with current regulations and mitigating the risk of suffering security breaches, as well as reducing the damage caused to those affected. and to the organization itself in the event of a security breach. Likewise, it offers a simple and effective framework to detect gaps in the field of data protection. That is, a questionnaire that allows self-assessment of the company's situation in terms of computer security and data protection, for subsequent analysis and contact with experts if necessary.