El RGPD instaura un nuevo sistema de protección de datos basado en la responsabilidad proactiva.

Deben ser los responsables y encargados los que establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Dicho de otra forma, los riesgos asociados a cada tratamiento será lo que determine las medidas de seguridad a implementar.

¿Cuáles son esas medidas de seguridad?

¿Existe una lista de medidas concretas o podemos decidir nosotros las que queremos aplicar?

En este post resuelvo todas tus dudas.

Medidas de seguridad en el RGPD

No podemos pensar en la protección de datos como un mero trámite, porque se trata de algo bien distinto. Se trata de un modelo de gestión responsable y comprometido de la información personal de otros y de una cultura de trabajo vinculada a la protección de esa información. Los usuarios ya se están familiarizando con sus derechos.

¿Eso qué significa?

Significa básicamente, tener en cuenta la seguridad de la información que recabamos, gestionamos y almacenamos. Y para eso, necesitamos pensar en las medidas de seguridad que debemos aplicar a esa información.

Para adaptarnos al RGPD, al iniciar un proyecto en la empresa, debemos realizar un análisis de riesgos de seguridad de red, de sistemas, de la web o de aplicaciones.

Y cada vez que solicitamos a un profesional la realización de un análisis de riesgos de seguridad o el diagnóstico y diseño de un sistema de seguridad de la información escuchamos expresiones como «controles» o «medidas técnicas y organizativas».

Pero, ¿de qué medidas nos están hablando?

A diferencia de la LOPD, que imponía una serie de medidas de seguridad estándar en función a la clasificación de los ficheros (bajo, medio o alto), el nuevo Reglamento parte de otro enfoque de la seguridad.

Ya no ofrece un repertorio de medidas de seguridad predefinidas que debemos aplicar. Lo que plantea el nuevo Reglamento es que esas medidas se establezcan en función al riesgo detectado.

El RGPD indica que las medidas de seguridad deberán ser proporcionales y adecuadas al riesgo detectado. Pero hay algunas medidas mínimas de seguridad que nos propone si los tratamientos que realizamos no entrañan riesgos elevados. Es decir, si no tratamos datos especialmente protegidos.

Las medidas de seguridad deben ser tanto técnicas como organizativas.

Principales riesgos

El RGPD establece la necesidad de establecer garantías de seguridad adecuadas que eviten, fundamentalmente:

  • El tratamiento no autorizado o ilícito de datos personales.
  • La pérdida de los datos personales, la destrucción o el daño accidental.

Las empresas y profesionales que gestionen información personal, para evitar ambos riesgos, aplicarán medidas técnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales. Y demostrarán que estas medidas se han llevado a la práctica (lo que conocemos como responsabilidad proactiva).

¿Qué pasaría si todos los datos de tus clientes fueran filtrados?

¿Cómo podrías levantar cabeza si te borran toda tu base de datos y no tienes un respaldo de datos?

¿Y qué pasaría si tu lista de distribución empieza a recibir spam desde tu dominio sin que tu hayas intervenido?

En caso de que te ocurra algo de eso, tendrías bastantes problemas. Para empezar, tu reputación quedaría resquebrajada, tanto como tu credibilidad.  Y perderías tu principal activo de trabajo, tu base de datos.

Y las sanciones que te impondrían, si te denuncian, te causarían demasiados dolores de cabeza.

La única manera de evitar todos esos problemas, es mostrar diligencia, algo que se consigue siendo capaz de acreditar que has hecho todos los esfuerzos necesarios para evitar que esto ocurriera. Es decir, aplicando todas las medidas de seguridad técnicas y organizativas necesarias.

El nuevo Reglamento ya no admite los paripés. Toca ponerse las pilas y pensar que la seguridad no debe ser una imposición sino una cuestión de supervivencia.

Medidas organizativas

Deberás informar a todo el personal con acceso a datos personales acerca de sus obligaciones con relación a los tratamientos de datos personales. Todo el personal de la empresa deberá conocer una información mínima que será la siguiente:

Deber de confidencialidad y secreto

  • Debe impedirse el acceso a datos personales de personas no autorizadas. Para ello intenta no dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.). Esto incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.
  • Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.
  • No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.
  • No se comunicarán datos personales o cualquier información personal a terceros. Ni divulgarse datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
  • El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.

Derechos de los titulares de los datos

Es necesario comunicar a todos los trabajadores el procedimiento de respuesta ante el ejercicio de los derechos de los interesados, definiendo claramente los mecanismos por los que pueden ejercerse los derechos, teniendo en cuenta lo siguiente:

  • Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión y oposición. El responsable del tratamiento deberá responder a los interesados lo antes posible.
  • En caso de ejercicio del derecho de acceso se facilitará a los interesados:
    • lista de los datos personales de que disponga junto con la finalidad para la que han sido recogidos,
    • identidad de los destinatarios de los datos,
    • plazos de conservación e
    • identidad del responsable ante el que solicitar la rectificación, supresión y oposición al tratamiento de los datos.
  • En caso de solicitarse la rectificación se modificarán los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.
  • Cuando se solicite la supresión, se suprimirán los datos de los interesados cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.

El responsable del tratamiento deberá informar a todas las personas con acceso a los datos personales acerca de los términos de cumplimiento para atender los derechos de los interesados, el procedimiento y la manera en que se atenderán dichos derechos.

Violaciones de seguridad de datos de carácter personal

Cuando se produzcan violaciones de seguridad de datos personales, como por ejemplo, el robo o acceso indebido a los datos personales, se notificará a la Agencia Española de Protección de Datos en 72 horas desde que de dichas violaciones de seguridad tuvieron lugar.

Y debe añadirse toda la información necesaria para la aclaración de los hechos que produjeron el acceso indebido a los datos personales.

La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es

Medidas técnicas

Dentro de las medidas de seguridad de carácter técnico deben destacarse:

Identificación de usuarios

Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades.

Es importante separar los usos personales y profesionales del ordenador.

Una recomendación es tener perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin derechos de administración o privilegios para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.

Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. Las contraseñas deben mezclar números y letras, teniendo al menos 8 caracteres.

En caso de acceso a los datos personales por varias personas, cada una de ellas debe tener un usuario y contraseña específicos (identificación inequívoca).

Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.

Deber de salvaguarda

A continuación te resumo las medidas técnicas mínimas para asegurar la salvaguarda de los datos personales:

  • Actualización de dispositivos y ordenadores. Los ordenadores y dispositivos usados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
  • Malware: Se dispondrá de un sistema de antivirus en los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales que garantice la protección de la información y datos personales. Este sistema deberá actualizarse periódicamente.
  • Cortafuegos o firewall: Deberá existir de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales para evitar accesos remotos indebidos a esos datos.
  • Cifrado de datos: En caso de que sea necesario sacar los datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de usar un proceso de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
  • Copia de seguridad: Se efectuará de forma periódica una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir, en caso de pérdida de la información, la recuperación de los datos personales.

Estas medidas de seguridad serán revisadas de forma periódica y esta revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual.

Recuerda que debes considerar que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido te puede ocurrir a ti. Por eso debes tomar todas las medidas necesarias para evitarlos.

Medidas de seguridad en el RGPD
4.8 (96.67%) 6 voto[s]

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenos días quiero suscribirme al boletin de noticias de su blog de rgpd.
    No veo el enlace para realizarlo, me podrían indicar donde o si con este correo es suficiente.

    1. Buenas tardes, de momento no existe una opción para suscribirse pero lo tendré en cuenta para un futuro próximo.