[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/17\/medidas-seguridad-rgpd\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/17\/medidas-seguridad-rgpd\/","headline":"Medidas de seguridad en el RGPD","name":"Medidas de seguridad en el RGPD","description":"Medidas de seguridad tecnicas y organizativas establecidas en el rgpd, analisis de riesgos previo, deber de confidencialidad y notificacion de incidentes","datePublished":"2018-12-17","dateModified":"2022-11-17","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":100,"height":100},"url":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/17\/medidas-seguridad-rgpd\/","commentCount":"2","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/17\/medidas-seguridad-rgpd\/#Comment1","dateCreated":"2019-03-25 19:21:57","description":"Buenas tardes, de momento no existe una opci\u00f3n para suscribirse pero lo tendr\u00e9 en cuenta para un futuro pr\u00f3ximo.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/17\/medidas-seguridad-rgpd\/#Comment2","dateCreated":"2019-03-25 12:06:30","description":"Buenos d\u00edas quiero suscribirme al boletin de noticias de su blog de rgpd. \r\nNo veo el enlace para realizarlo, me podr\u00edan indicar donde o si con este correo es suficiente.","author":{"@type":"Person","name":"sus","url":""}}],"about":["LOPDGDD & RGPD"],"wordCount":2716,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } La normativa actual sobre protecci\u00f3n de datos pone un especial \u00e9nfasis en la seguridad e integridad de la informaci\u00f3n personal tratada por empresas u otras organizaciones. En este art\u00edculo vemos las principales medidas de seguridad RGPD que deben poner en pr\u00e1ctica los responsables y encargados del tratamiento para una adecuada protecci\u00f3n de datos de los interesados.Medidas de seguridad en el RGPDPrincipales riesgosMedidas organizativasDeber de confidencialidad y secretoDerechos de los titulares de los datosViolaciones de seguridad de datos de car\u00e1cter personalMedidas t\u00e9cnicasIdentificaci\u00f3n de usuariosDeber de salvaguardaOtras obligaciones de seguridad impuestas por el RGPDNotificar una violaci\u00f3n de sus datos personales al interesadoRealizar una evaluaci\u00f3n de impactoMedidas de seguridad en el RGPDEl Reglamento General de Protecci\u00f3n de Datos (RGPD) exige a todas las empresas que desarrollen sus actividades en el marco de la Uni\u00f3n Europea a aplicar unas determinadas medidas de protecci\u00f3n de datos.La aplicaci\u00f3n de las medidas de seguridad en protecci\u00f3n de datos se har\u00e1 teniendo en cuenta los siguientes factores:El estado actual de la t\u00e9cnicaLos costes de aplicaci\u00f3n de las medidas.La naturaleza, alcance, contexto y finalidad del tratamiento.Los posibles riesgos para los derechos o libertades de los interesados.En funci\u00f3n de estas cuestiones, las organizaciones han de aplicar las medidas t\u00e9cnicas y organizativas necesarias para garantizar una adecuada protecci\u00f3n de datos de los individuos objeto del tratamiento.Entre estas medidas de seguridad LOPD est\u00e1n las siguientes:El cifrado y seudonimizaci\u00f3n de datos personales.La creaci\u00f3n de sistemas y servicios de tratamiento que sean capaces de asegurar la integridad, seguridad, confidencialidad y resiliencia de los datos.La puesta en marcha de protocolos o herramientas capaces de restaurar la disponibilidad o el acceso a la informaci\u00f3n en caso de que se produzca alg\u00fan tipo de fallo f\u00edsico o t\u00e9cnico.Otra de las medidas de seguridad de datos personales consiste en evaluar los riesgos derivados del tratamiento, con el objetivo de adecuar el nivel de protecci\u00f3n de datos que ha de aplicar la organizaci\u00f3n. Principalmente, estos niveles de seguridad tienen como consecuencia ofrecer una adecuada reacci\u00f3n en caso de destrucci\u00f3n, p\u00e9rdida o alteraci\u00f3n de los datos personales objeto del tratamiento.Para demostrar que la empresa aplica medidas de protecci\u00f3n de la informaci\u00f3n, podr\u00e1 adherirse a alguno de los c\u00f3digos de conducta indicados en el art\u00edculo 40 del RGPD, o a alguna autoridad de certificaci\u00f3n de las recogidas en el art\u00edculo 42 del RGPD.Asimismo los responsables y encargados del tratamiento han de aplicar las medidas de seguridad GDPR necesarias para garantizar que cualquier persona que act\u00fae bajo su autoridad solo pueda acceder y tratar los datos personales estrictamente necesarios y aplicando las instrucciones del responsable, salvo que exista otra obligaci\u00f3n determinada por el Derecho de la UE o de la legislaci\u00f3n de un Estado miembro.Principales riesgosEl RGPD establece la necesidad de\u00a0establecer garant\u00edas de seguridad adecuadas que eviten, fundamentalmente:El tratamiento no autorizado o il\u00edcito de datos personales.La p\u00e9rdida de los datos personales, la destrucci\u00f3n o el da\u00f1o accidental.Las empresas y profesionales que gestionen informaci\u00f3n personal, para evitar ambos riesgos, aplicar\u00e1n medidas t\u00e9cnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales. Y demostrar\u00e1n que estas medidas se han llevado a la pr\u00e1ctica (lo que conocemos como responsabilidad proactiva).\u00bfQu\u00e9 pasar\u00eda si todos los datos de tus clientes fueran filtrados?\u00bfC\u00f3mo podr\u00edas levantar cabeza si te borran toda tu base de datos y no tienes un respaldo de datos?\u00bfY qu\u00e9 pasar\u00eda si tu lista de distribuci\u00f3n empieza a recibir spam desde tu dominio sin que tu hayas intervenido?En caso de que te ocurra algo de eso, tendr\u00edas bastantes problemas. Para empezar, tu reputaci\u00f3n quedar\u00eda resquebrajada, tanto como tu credibilidad.\u00a0 Y perder\u00edas tu principal activo de trabajo, tu base de datos.Y las sanciones que te impondr\u00edan, si te denuncian, te causar\u00edan demasiados dolores de cabeza.La \u00fanica manera de evitar todos esos problemas, es mostrar diligencia, algo que se consigue siendo capaz de acreditar que has hecho todos los esfuerzos necesarios para evitar que esto ocurriera. Es decir, aplicando todas las medidas de seguridad t\u00e9cnicas y organizativas necesarias.El nuevo Reglamento ya no admite los parip\u00e9s. Toca ponerse las pilas y pensar que la seguridad no debe ser una imposici\u00f3n sino una cuesti\u00f3n de supervivencia.Medidas organizativasDeber\u00e1s informar a todo el personal con acceso a datos personales acerca de sus obligaciones con relaci\u00f3n a los tratamientos de datos personales. Todo el personal de la empresa deber\u00e1 conocer una informaci\u00f3n m\u00ednima que ser\u00e1 la siguiente:Deber de confidencialidad y secretoDebe impedirse el acceso a datos personales de personas no autorizadas. Para ello intenta no dejar los datos personales expuestos a terceros (pantallas electr\u00f3nicas desatendidas, documentos en papel en zonas de acceso p\u00fablico, soportes con datos personales, etc.). Esto incluye las pantallas que se utilicen para la visualizaci\u00f3n de im\u00e1genes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se proceder\u00e1 al bloqueo de la pantalla o al cierre de la sesi\u00f3n.Los documentos en papel y soportes electr\u00f3nicos se almacenar\u00e1n en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del d\u00eda.No se desechar\u00e1n documentos o soportes electr\u00f3nicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucci\u00f3n.No se comunicar\u00e1n datos personales o cualquier informaci\u00f3n personal a terceros. Ni divulgarse datos personales protegidos durante las consultas telef\u00f3nicas, correos electr\u00f3nicos, etc.El deber de secreto y confidencialidad persiste incluso cuando finalice la relaci\u00f3n laboral del trabajador con la empresa.Derechos de los titulares de los datosEs necesario comunicar a todos los trabajadores el procedimiento de respuesta ante el ejercicio de los derechos de los interesados, definiendo claramente los mecanismos por los que pueden ejercerse los derechos, teniendo en cuenta lo siguiente:Previa presentaci\u00f3n de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podr\u00e1n ejercer sus derechos de acceso, rectificaci\u00f3n, supresi\u00f3n y oposici\u00f3n. El responsable del tratamiento deber\u00e1 responder a los interesados lo antes posible.En caso de ejercicio del derecho de acceso se facilitar\u00e1 a los interesados:lista de los datos personales de que disponga junto con la finalidad para la que han sido recogidos,identidad de los destinatarios de los datos,plazos de conservaci\u00f3n eidentidad del responsable ante el que solicitar la rectificaci\u00f3n, supresi\u00f3n y oposici\u00f3n al tratamiento de los datos.En caso de solicitarse la rectificaci\u00f3n se modificar\u00e1n los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.Cuando se solicite la supresi\u00f3n, se suprimir\u00e1n los datos de los interesados cuando los interesados manifiesten su negativa u oposici\u00f3n al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.El responsable del tratamiento deber\u00e1 informar a todas las personas con acceso a los datos personales acerca de los t\u00e9rminos de cumplimiento para atender los derechos de los interesados, el procedimiento y la manera en que se atender\u00e1n dichos derechos.Violaciones de seguridad de datos de car\u00e1cter personalCuando se produzcan violaciones de seguridad de datos personales, como por ejemplo, el robo o acceso indebido a los datos personales, se notificar\u00e1 a la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos en 72 horas desde que de dichas violaciones de seguridad tuvieron lugar.Y debe a\u00f1adirse toda la informaci\u00f3n necesaria para la aclaraci\u00f3n de los hechos que produjeron el acceso indebido a los datos personales.La notificaci\u00f3n se realizar\u00e1 por medios electr\u00f3nicos a trav\u00e9s de la sede electr\u00f3nica de la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos en la direcci\u00f3n: https:\/\/sedeagpd.gob.esMedidas t\u00e9cnicasDentro de las medidas de seguridad de car\u00e1cter t\u00e9cnico deben destacarse:Identificaci\u00f3n de usuariosCuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades.Es importante separar los usos personales y profesionales del ordenador.Una recomendaci\u00f3n es tener perfiles con derechos de administraci\u00f3n para la instalaci\u00f3n y configuraci\u00f3n del sistema y usuarios sin derechos de administraci\u00f3n o privilegios para el acceso a los datos personales. Esta medida evitar\u00e1 que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.Se garantizar\u00e1 la existencia de contrase\u00f1as para el acceso a los datos personales almacenados en sistemas electr\u00f3nicos. Las contrase\u00f1as deben mezclar n\u00fameros y letras, teniendo al menos 8 caracteres.En caso de acceso a los datos personales por varias personas, cada una de ellas debe tener un usuario y contrase\u00f1a espec\u00edficos (identificaci\u00f3n inequ\u00edvoca).Se debe garantizar la confidencialidad de las contrase\u00f1as, evitando que queden expuestas a terceros. En ning\u00fan caso se compartir\u00e1n las contrase\u00f1as ni se dejar\u00e1n anotadas en lugar com\u00fan y el acceso de personas distintas del usuario.Deber de salvaguardaA continuaci\u00f3n te resumo las medidas t\u00e9cnicas m\u00ednimas para asegurar la salvaguarda de los datos personales:Actualizaci\u00f3n de dispositivos y ordenadores. Los ordenadores y dispositivos usados para el almacenamiento y el tratamiento de los datos personales deber\u00e1n mantenerse actualizados en la media posible.Malware: Se dispondr\u00e1 de un sistema de antivirus en los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales que garantice la protecci\u00f3n de la informaci\u00f3n y datos personales. Este sistema deber\u00e1 actualizarse peri\u00f3dicamente.Cortafuegos o firewall: Deber\u00e1 existir de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y\/o tratamiento de datos personales para evitar accesos remotos indebidos a esos datos.Cifrado de datos: En caso de que sea necesario sacar los datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios f\u00edsicos o por medios electr\u00f3nicos, se deber\u00e1 valorar la posibilidad de usar un proceso de encriptaci\u00f3n para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la informaci\u00f3n.Copia de seguridad: Se efectuar\u00e1 de forma peri\u00f3dica una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenar\u00e1 en lugar seguro, distinto de aqu\u00e9l en que est\u00e9 ubicado el ordenador con los ficheros originales, con el fin de permitir, en caso de p\u00e9rdida de la informaci\u00f3n, la recuperaci\u00f3n de los datos personales.Estas medidas de seguridad ser\u00e1n revisadas de forma peri\u00f3dica y esta revisi\u00f3n podr\u00e1 realizarse por mecanismos autom\u00e1ticos (software o programas inform\u00e1ticos) o de forma manual.Recuerda que debes considerar que cualquier incidente de seguridad inform\u00e1tica que le haya ocurrido a cualquier conocido te puede ocurrir a ti. Por eso debes tomar todas las medidas necesarias para evitarlos.Otras obligaciones de seguridad impuestas por el RGPDExisten otra serie de medidas de seguridad para la protecci\u00f3n de datos personales que el RGPD ha introducido con el objetivo de garantizar la integridad de los datos o evitar riesgos en casos de violaciones de seguridad. En este caso, hablamos de la elaboraci\u00f3n de evaluaciones de impacto, o la notificaci\u00f3n de brechas de seguridad a las autoridades de control y a los propios interesados.Notificar una violaci\u00f3n de sus datos personales al interesadoEl responsable del tratamiento deber\u00e1 notificar al interesado cuando se produzca una violaci\u00f3n de seguridad que pueda suponer un riesgo para sus derechos o libertades.La notificaci\u00f3n de esta violaci\u00f3n de seguridad al interesado se ha de realizar a trav\u00e9s de un lenguaje claro, sencillo y f\u00e1cilmente entendible.. Se la comunicar\u00e1 la naturaleza de la brecha de seguridad, los posibles riesgos asociados y las medidas de seguridad RGPD que se aplicar\u00e1n para subsanar el fallo.La comunicaci\u00f3n de la brecha de seguridad al interesado no ser\u00e1 necesaria en los siguientes casos:Cuando el responsable haya aplicado las medidas de protecci\u00f3n de datos adecuadas para evitar que cualquier persona no autorizada pueda acceder a la informaci\u00f3n, por ejemplo a trav\u00e9s de la anonimizaci\u00f3n o cifrado.Si el responsable ha aplicado medidas que aseguren que no existe ning\u00fan tipo de riesgo para los derechos o libertades del individuo.Cuando la comunicaci\u00f3n a los interesados suponga un esfuerzo desproporcionado, en cuyo caso se optar\u00e1 por una comunicaci\u00f3n p\u00fablica o alternativa similar que garantice de igual modo la recepci\u00f3n de la notificaci\u00f3n por parte de los interesados.Por \u00faltimo, en caso de que la brecha de seguridad no haya sido todav\u00eda comunicada a los interesados, las autoridades de control competentes, una vez evaluados los riesgos que la violaci\u00f3n pueda entra\u00f1ar, podr\u00e1 exigir la notificaci\u00f3n de dicha brecha de seguridad a las personas f\u00edsicas afectadas.Realizar una evaluaci\u00f3n de impactoOtra de las medidas de seguridad para proteger los datos personales es la elaboraci\u00f3n de un an\u00e1lisis de riesgos previa al tratamiento, o en otros casos, una evaluaci\u00f3n de impacto.La evaluaci\u00f3n de impacto ser\u00e1 necesaria cuando el tratamiento de los datos personales, en particular cuando se hace uso de las nuevas tecnolog\u00edas, pueda entra\u00f1ar un elevado riesgo para los derechos y libertades de los interesados.En concreto, la evaluaci\u00f3n de impacto ser\u00e1 una de las medidas de seguridad en la protecci\u00f3n de datos a adoptar en los siguientes casos:Cuando se realice un tratamiento automatizado y exhaustivo de datos de los interesados, por ejemplo para la elaboraci\u00f3n de perfiles, o que dicho tratamiento pueda acarrear consecuencias jur\u00eddicas para las personas f\u00edsicas.Si se realiza un tratamiento a gran escala de datos especialmente protegidos.En aquellos casos en los que se realice una observaci\u00f3n a gran escala de zonas de acceso p\u00fablico.En definitiva, las medidas de seguridad en protecci\u00f3n de datos que impone el RGPD son obligatorias para todas las empresas que act\u00faan en la UE, y tienen como objetivo proteger los derechos y libertades de las personas f\u00edsicas, as\u00ed como establecer protocolos y pautas de actuaci\u00f3n para reducir las consecuencias provocadas por las violaciones de seguridad."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2018\/12\/17\/medidas-seguridad-rgpd\/#breadcrumbitem","name":"Medidas de seguridad en el RGPD"}}]}]