La normativa actual sobre protección de datos pone un especial énfasis en la seguridad e integridad de la información personal tratada por empresas u otras organizaciones. En este artículo vemos las principales medidas de seguridad RGPD que deben poner en práctica los responsables y encargados del tratamiento para una adecuada protección de datos de los interesados.
Medidas de seguridad en el RGPD
El Reglamento General de Protección de Datos (RGPD) exige a todas las empresas que desarrollen sus actividades en el marco de la Unión Europea a aplicar unas determinadas medidas de protección de datos.
La aplicación de las medidas de seguridad en protección de datos se hará teniendo en cuenta los siguientes factores:
- El estado actual de la técnica
- Los costes de aplicación de las medidas.
- La naturaleza, alcance, contexto y finalidad del tratamiento.
- Los posibles riesgos para los derechos o libertades de los interesados.
En función de estas cuestiones, las organizaciones han de aplicar las medidas técnicas y organizativas necesarias para garantizar una adecuada protección de datos de los individuos objeto del tratamiento.
Entre estas medidas de seguridad LOPD están las siguientes:
- El cifrado y seudonimización de datos personales.
- La creación de sistemas y servicios de tratamiento que sean capaces de asegurar la integridad, seguridad, confidencialidad y resiliencia de los datos.
- La puesta en marcha de protocolos o herramientas capaces de restaurar la disponibilidad o el acceso a la información en caso de que se produzca algún tipo de fallo físico o técnico.
Otra de las medidas de seguridad de datos personales consiste en evaluar los riesgos derivados del tratamiento, con el objetivo de adecuar el nivel de protección de datos que ha de aplicar la organización. Principalmente, estos niveles de seguridad tienen como consecuencia ofrecer una adecuada reacción en caso de destrucción, pérdida o alteración de los datos personales objeto del tratamiento.
Para demostrar que la empresa aplica medidas de protección de la información, podrá adherirse a alguno de los códigos de conducta indicados en el artículo 40 del RGPD, o a alguna autoridad de certificación de las recogidas en el artículo 42 del RGPD.
Asimismo los responsables y encargados del tratamiento han de aplicar las medidas de seguridad GDPR necesarias para garantizar que cualquier persona que actúe bajo su autoridad solo pueda acceder y tratar los datos personales estrictamente necesarios y aplicando las instrucciones del responsable, salvo que exista otra obligación determinada por el Derecho de la UE o de la legislación de un Estado miembro.
Principales riesgos
El RGPD establece la necesidad de establecer garantías de seguridad adecuadas que eviten, fundamentalmente:
- El tratamiento no autorizado o ilícito de datos personales.
- La pérdida de los datos personales, la destrucción o el daño accidental.
Las empresas y profesionales que gestionen información personal, para evitar ambos riesgos, aplicarán medidas técnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales. Y demostrarán que estas medidas se han llevado a la práctica (lo que conocemos como responsabilidad proactiva).
¿Qué pasaría si todos los datos de tus clientes fueran filtrados?
¿Cómo podrías levantar cabeza si te borran toda tu base de datos y no tienes un respaldo de datos?
¿Y qué pasaría si tu lista de distribución empieza a recibir spam desde tu dominio sin que tu hayas intervenido?
En caso de que te ocurra algo de eso, tendrías bastantes problemas. Para empezar, tu reputación quedaría resquebrajada, tanto como tu credibilidad. Y perderías tu principal activo de trabajo, tu base de datos.
Y las sanciones que te impondrían, si te denuncian, te causarían demasiados dolores de cabeza.
La única manera de evitar todos esos problemas, es mostrar diligencia, algo que se consigue siendo capaz de acreditar que has hecho todos los esfuerzos necesarios para evitar que esto ocurriera. Es decir, aplicando todas las medidas de seguridad técnicas y organizativas necesarias.
El nuevo Reglamento ya no admite los paripés. Toca ponerse las pilas y pensar que la seguridad no debe ser una imposición sino una cuestión de supervivencia.
Medidas organizativas
Deberás informar a todo el personal con acceso a datos personales acerca de sus obligaciones con relación a los tratamientos de datos personales. Todo el personal de la empresa deberá conocer una información mínima que será la siguiente:
Deber de confidencialidad y secreto
- Debe impedirse el acceso a datos personales de personas no autorizadas. Para ello intenta no dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.). Esto incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se procederá al bloqueo de la pantalla o al cierre de la sesión.
- Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día.
- No se desecharán documentos o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción.
- No se comunicarán datos personales o cualquier información personal a terceros. Ni divulgarse datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
- El deber de secreto y confidencialidad persiste incluso cuando finalice la relación laboral del trabajador con la empresa.
Derechos de los titulares de los datos
Es necesario comunicar a todos los trabajadores el procedimiento de respuesta ante el ejercicio de los derechos de los interesados, definiendo claramente los mecanismos por los que pueden ejercerse los derechos, teniendo en cuenta lo siguiente:
- Previa presentación de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podrán ejercer sus derechos de acceso, rectificación, supresión y oposición. El responsable del tratamiento deberá responder a los interesados lo antes posible.
- En caso de ejercicio del derecho de acceso se facilitará a los interesados:
- lista de los datos personales de que disponga junto con la finalidad para la que han sido recogidos,
- identidad de los destinatarios de los datos,
- plazos de conservación e
- identidad del responsable ante el que solicitar la rectificación, supresión y oposición al tratamiento de los datos.
- En caso de solicitarse la rectificación se modificarán los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.
- Cuando se solicite la supresión, se suprimirán los datos de los interesados cuando los interesados manifiesten su negativa u oposición al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.
El responsable del tratamiento deberá informar a todas las personas con acceso a los datos personales acerca de los términos de cumplimiento para atender los derechos de los interesados, el procedimiento y la manera en que se atenderán dichos derechos.
Violaciones de seguridad de datos de carácter personal
Cuando se produzcan violaciones de seguridad de datos personales, como por ejemplo, el robo o acceso indebido a los datos personales, se notificará a la Agencia Española de Protección de Datos en 72 horas desde que de dichas violaciones de seguridad tuvieron lugar.
Y debe añadirse toda la información necesaria para la aclaración de los hechos que produjeron el acceso indebido a los datos personales.
La notificación se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es
Medidas técnicas
Dentro de las medidas de seguridad de carácter técnico deben destacarse:
Identificación de usuarios
Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades.
Es importante separar los usos personales y profesionales del ordenador.
Una recomendación es tener perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin derechos de administración o privilegios para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
Se garantizará la existencia de contraseñas para el acceso a los datos personales almacenados en sistemas electrónicos. Las contraseñas deben mezclar números y letras, teniendo al menos 8 caracteres.
En caso de acceso a los datos personales por varias personas, cada una de ellas debe tener un usuario y contraseña específicos (identificación inequívoca).
Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
Deber de salvaguarda
A continuación te resumo las medidas técnicas mínimas para asegurar la salvaguarda de los datos personales:
- Actualización de dispositivos y ordenadores. Los ordenadores y dispositivos usados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
- Malware: Se dispondrá de un sistema de antivirus en los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales que garantice la protección de la información y datos personales. Este sistema deberá actualizarse periódicamente.
- Cortafuegos o firewall: Deberá existir de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales para evitar accesos remotos indebidos a esos datos.
- Cifrado de datos: En caso de que sea necesario sacar los datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de usar un proceso de encriptación para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
- Copia de seguridad: Se efectuará de forma periódica una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el ordenador con los ficheros originales, con el fin de permitir, en caso de pérdida de la información, la recuperación de los datos personales.
Estas medidas de seguridad serán revisadas de forma periódica y esta revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual.
Recuerda que debes considerar que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido te puede ocurrir a ti. Por eso debes tomar todas las medidas necesarias para evitarlos.
Otras obligaciones de seguridad impuestas por el RGPD
Existen otra serie de medidas de seguridad para la protección de datos personales que el RGPD ha introducido con el objetivo de garantizar la integridad de los datos o evitar riesgos en casos de violaciones de seguridad. En este caso, hablamos de la elaboración de evaluaciones de impacto, o la notificación de brechas de seguridad a las autoridades de control y a los propios interesados.
Notificar una violación de sus datos personales al interesado
El responsable del tratamiento deberá notificar al interesado cuando se produzca una violación de seguridad que pueda suponer un riesgo para sus derechos o libertades.
La notificación de esta violación de seguridad al interesado se ha de realizar a través de un lenguaje claro, sencillo y fácilmente entendible.. Se la comunicará la naturaleza de la brecha de seguridad, los posibles riesgos asociados y las medidas de seguridad RGPD que se aplicarán para subsanar el fallo.
La comunicación de la brecha de seguridad al interesado no será necesaria en los siguientes casos:
- Cuando el responsable haya aplicado las medidas de protección de datos adecuadas para evitar que cualquier persona no autorizada pueda acceder a la información, por ejemplo a través de la anonimización o cifrado.
- Si el responsable ha aplicado medidas que aseguren que no existe ningún tipo de riesgo para los derechos o libertades del individuo.
- Cuando la comunicación a los interesados suponga un esfuerzo desproporcionado, en cuyo caso se optará por una comunicación pública o alternativa similar que garantice de igual modo la recepción de la notificación por parte de los interesados.
Por último, en caso de que la brecha de seguridad no haya sido todavía comunicada a los interesados, las autoridades de control competentes, una vez evaluados los riesgos que la violación pueda entrañar, podrá exigir la notificación de dicha brecha de seguridad a las personas físicas afectadas.
Realizar una evaluación de impacto
Otra de las medidas de seguridad para proteger los datos personales es la elaboración de un análisis de riesgos previa al tratamiento, o en otros casos, una evaluación de impacto.
La evaluación de impacto será necesaria cuando el tratamiento de los datos personales, en particular cuando se hace uso de las nuevas tecnologías, pueda entrañar un elevado riesgo para los derechos y libertades de los interesados.
En concreto, la evaluación de impacto será una de las medidas de seguridad en la protección de datos a adoptar en los siguientes casos:
- Cuando se realice un tratamiento automatizado y exhaustivo de datos de los interesados, por ejemplo para la elaboración de perfiles, o que dicho tratamiento pueda acarrear consecuencias jurídicas para las personas físicas.
- Si se realiza un tratamiento a gran escala de datos especialmente protegidos.
- En aquellos casos en los que se realice una observación a gran escala de zonas de acceso público.
En definitiva, las medidas de seguridad en protección de datos que impone el RGPD son obligatorias para todas las empresas que actúan en la UE, y tienen como objetivo proteger los derechos y libertades de las personas físicas, así como establecer protocolos y pautas de actuación para reducir las consecuencias provocadas por las violaciones de seguridad.