1.- Anàlisis de les dades de les dades de caràcter personal. Cal fer una anàlisi de la tipologia de dades de caràcter personal: clients, proveïdors, contactes, treballadors, videovigilància, etc.
2.- Contractes amb encarregats de tractament. En segon lloc cal veure a quines altres empreses es cedeixen les dades de caràcter personal (el cas més típic es el de les gestories). Cal relacionar-les i elaborar els contractes.
3.- Usuaris, confidencialitat i autoritzacions de tractament de dades personals. S’han de relacionar els usuaris (treballadors) de l’empresa que tracten dades de caràcter personal, indicant el seu perfil i especificant els tipus de dades que tracten o manipulen. A partir d’aquesta relació cal elaborar els documents de confidencialitat que han de signar tots ells. També cal valorar les autoritzacions per a la sortida de l’empresa de documentació per diferents mitjans.
4.- Anàlisi de riscos. S’han d’analitzar les possibles amenaces i vulnerabilitats de la nostra empresa pel que fa la preservació, seguretat i inviolabilitat de les dades de caràcter personal de les que la nostra empresa es responsable. Això inclou:
– Anàlisi d’amenaces i vulnerabilitats de:
– l’espai físic : magatzems, oficines, documents en papers, etc.
– connexions d’internet, tant dins com des de fora de l’empresa
– Allotjaments d’internet, correu electrònic, etc.
– còpies de seguretat: en discs durs externs, núvol, etc.
– anàlisis d’equips informàtics: antivirus, tallafocs, xarxes locals, CPU’s
– etc.
5.- Mesures de seguretat. En cinquè lloc, a partir de les dades de l’anàlisi de riscos, cal definir les mesures de seguretat que ha implantat o ha d’implantar l’empresa.
6.- Els drets dels usuaris i el deure d’informar. S’hauran de redactar totes les clàusules informatives necessàries per incloure, si cal, a : factures, pressupostos, emails, pàgines web, contactes web, newsletters, etc.