Listado de medidas de mitigación de riesgos y nivel de madurez asociado
Control/Medida
N. Madurez Inicial
N. Madurez Actual
N. Madurez Propuesto
Aplicabilidad
Control/Medida
N. Madurez Inicial
N. Madurez Actual
N. Madurez Propuesto
Aplicabilidad
Controles generales (aplican a todos los riesgos)
Cláusulas confidencialidad
Control de acceso físico
Cuestionario de autoevaulación, evalúa los principales aspectos del tratamiento de cara a garantizar el cumplimiento de la normativa
Documento política de seguridad
Inventario de soportes en papel
Manual buenas prácticas Protección de datos
Plan de formación y comunicación interna
Política de mesas limpias
Política de traslado de documentación
Procedimiento de archivo
Procedimiento de expurgo
Procedimiento de gestión de personal (altas y bajas)
Procedimiento para garantizar mecanismos de anonimización segura e irreversible
Protección contra fuentes de riesgo (SAI, antiincendios)
Registro de acceso físico
Registro de entrada salida
Registro de equipos informáticos
Registro de proveedores sin acceso a datos
Registro de usuarios con acceso
Segregación de tareas por perfiles
Seudonimización
Controles riesgos de Principios
Licitud del tratamiento: Revisión de las bases, por un tercero que puedan legitimar el tratamiento
Revisión por un tercero de las Cláusulas de Información, consentimientos recabados y registro de Actividad del Tratamiento
Controles riesgos de Consentimiento
Establecer canales para obtección y retirada con la misma usabilidad. Tanto online como presencial
Trazabilidad del consentimiento
Verificación de edad
Protocolo de revisión de consentimientos
Controles riesgos de Calidad de los datos
Procedimiento de Minimización de datos personales
Sistema de gestión documental
Controles riesgos de Derechos
Protocolo de actuación para la gestión y resolución de los ejercicios de derechos
Cláusulas informativas
Establecer procedimientos de información online y presencial
Controles riesgos de Obligaciones
Registro de actividades de tratamiento
Procedimiento de revisión de cláusulas específicas y certificaciones
Controles riesgos de Transferencias internacionales de datos
Política de control del importador de datos
Análisis de países seguros
Procedimiento de Transferencias Internacionales de Datos
Controles riesgos de Encargado de tratamiento
Contrato Encargado tratamiento
Solicitud de evidencias de cumplimiento normativo
Protocolo de comunicación de brechas de seguridad de Encargados de Tratamiento
Registro de Encargados de tratamiento
Controles riesgos de Seguridad
Copias de seguridad
Control de acceso lógico
Cifrado de datos
Antivirus
Pruebas de pentesting
Registro de accesos
Seguridad de redes
Procedimiento recuperación de datos
Protocolo de gestión de incidencias no cibernéticas
Inventario de incidencias
Controles riesgos de Brechas
Protocolo de comunicación de brechas de seguridad
Controles riesgos de DPO
DPO independiente (externo o interno sin funciones ejecutivas de seguridad)
Datos de contacto DPO accesibles
DPO certificado
Controles riesgos de Consultas
Procedimiento de consultas
Registro de consultas
Controles riesgos de Protección de datos desde el diseño y por defecto
Procedimiento para establecer medidas de cumplimiento respecto a los nuevos tratamientos de datos desde el inicio de la actividad y durante el ciclo de vida
Procedimiento de Evaluación Objetiva para precalificar el riesgo