Las exigencias de seguridad varían en función del nivel de seguridad (básico, medio o alto) que la ley fija según el tipo de datos tratados. Éste sería el plan de actuación básico que habría que seguir:
Identificar ficheros. Consiste en realizar un “análisis pormenorizado de los ficheros de carácter personal existentes, estableciendo el nivel de seguridad que corresponda”, indica Gila.
Inscripción registral. Hay que notificar e inscribir los ficheros en el Registro General de Protección de Datos de la AEPD.
Redacción de cláusulas y formularios. Se trata de “textos generales de información a los titulares de los datos”, indica el responsable de LOPD Madrid.
Contrato con terceros prestados. Es preciso un “contrato por escrito obligatorio con cualquier tercero prestador de un servicio al que se le comuniquen datos personales, cuyo fin es legitimar el acceso de éste a los datos. Por ejemplo, un gestor o un administrador de fincas. La LOPD los considera encargados de tratamiento de datos”, señala Santos.
Documento interno de seguridad. Es obligatorio desarrollar, redactar e implementar este documento en función de los niveles de ficheros existentes.
Ejercicio de los derechos de acceso. Gila recuerda que hay que tener un documento con el procedimiento de actuación ante el ejercicio de los derechos de acceso, rectificación y cancelación.
Formación del personal. Aunque no es obligatorio, es recomendable que todo el personal con acceso a los datos personales y los responsables del fichero reciban formación al respecto.
