El Reglamento (UE) 2016/679, General de protección de datos, (RGPD), de 27 de abril de 2016, abría una importante vía de trabajo en todas las organizaciones que tratamos datos personales, y entre ellas las mutuas colaboradoras con la Seguridad Social, para adaptarse al cumplimiento normativo que se derivaba de la citada norma.

· Esa necesidad de adaptación a la legalidad en materia de protección de datos personales se vería incrementada con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

· MUTUALIA es una organización que tiene entre sus prioridades el compromiso de garantizar el cumplimiento de la legislación que le resulta de aplicación y especialmente la relacionada con el tratamiento de datos personales.

· En MUTUALIA nos hemos adaptado a la citada normativa, adoptando actuaciones para reforzar medidas de seguridad ya existentes y adoptando nuevas necesarias para continuar en esa línea de mejora continua y cumplimiento de la legalidad, como la formación entre las personas trabajadoras sobre aspectos relevantes de la seguridad de los datos personales recabados y tratados en el día a día de la organización.

· En MUTUALIA, destacamos la buena respuesta de las personas trabajadoras de esta organización, que han mostrado un elevado grado de compromiso y profesionalidad haciendo posible materializar el cumplimiento legal en materia de protección de datos personales y sin las cuales, no hubiera sido posible garantizar el cumplimiento de las medidas de seguridad y su mantenimiento en el tiempo.

· Las POLÍTICAS DE PRIVACIDAD y de PROTECCIÓN DE DATOS están localizadas en la web corporativa1.

· Entre las diferentes actuaciones realizadas han resultado relevantes algunas de las medidas de seguridad orientadas a la formación y difusión entre las personas trabajadoras como son las píldoras informativas, sobre aspectos relevantes de la seguridad de los datos personales recabados y tratados en el día a día de la organización. De las píldoras informativas más relevantes, se destaca:

o Uso unívocamente personal de las cuentas de correo electrónico y las contraseñas para acceso a los recursos informáticos de la entidad y que no deben ser comunicadas a terceras personas ya que su uso identifica siempre al titular de la misma y se le asocia a las responsabilidades que puedan derivarse de un mal uso de las mismas, salvo prueba en contra.

o Velar y supervisar que todos los formularios o documentos en los que se solicita a las personas usuarias que faciliten sus datos personales, incluyan las preceptivas clausulas informativas sobre lo que se van a hacer con sus datos personales y la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación, limitación u oposición y portabilidad

o Evitar el envío masivo de correos electrónicos a través de listas abiertas y visibles para todos los receptores

o Revisar que no se almacenan datos personales propios como fotos, grabaciones y ficheros personales o familiares en los sistemas de información de la mutua

o No dejar documentación descuidada sobre las mesas al finalizar la jornada laboral o en las bandejas de impresoras o fotocopiadoras, armarios, cajones y despachos cerrados con llave, etc.

o Importancia de guardar secreto profesional sobre los datos personales accedidos y tratados en el ámbito laboral y que no deben ser divulgados bajo riesgo de que esas comunicaciones no amparadas legalmente puedan verse tipificadas incluso como delitos.

o No divulgar en redes sociales informaciones personales o confidenciales de los datos personales objeto de tratamiento en la organización.

o Ser precavidos en las comunicaciones que se realizan telefónicamente, donde se puede ser grabados sin tener conocimiento de ello,

o No enviar por correo electrónico, fuera de la organización, ficheros adjuntos con datos personales si no tenemos seguridad que la normativa lo permite, y en caso de duda hay que preguntar a la persona responsable.

o En los supuestos en los que legalmente está permitido u obligado enviar ficheros con datos de salud, previamente encriptar los mismos con contraseña.

o Importancia de la destrucción de datos personales o confidenciales mediante el uso de destructoras de papel y de velar por lo que se tira en las papeleras para que no sea información comprometedora.

o Necesidad de comunicar al Comité de Seguridad todos los nuevos proyectos que aborden las áreas y procesos para valorar la necesidad de Evaluación de Impacto en materia de Protección de Datos. MUTUALIA tiene constituido un COMITÉ DE SEGURIDAD (comitedeseguridad@mutualia.eus), compuesto por la Responsable de Seguridad y Directora de Sistemas de Información (Iratxe Ijalba), la Directora de Organización y Gestión de Riesgos (Verónica Huidobro) y el Delegado de Protección de Datos (José Ángel Moral), al que se puede comunicar cualquier duda, incidencia o circunstancia que contribuyen a la mejora del cumplimiento normativo en materia de Protección de Datos.

En el TXOKO del Comité de Seguridad de ELKARGUNE constan publicados diversos documentos, formularios y procedimientos de interés, progresivamente actualizados, relacionados con la gestión de la Protección de Datos y medidas de seguridad.

COMITÉ DE SEGURIDAD DE MUTUALIA

Bilbao, 28 de enero de 2020