驴Qu茅 medidas de seguridad rgpd me exige el nuevo reglamento de protecci贸n de datos?

medidas de seguridad nuevo reglamento

M谩ster en Protecci贸n de Datos por la AEPD y UNED

Contenidos

Es probable que ya sepas que cumplir con la legislaci贸n en materia de protecci贸n de datos es mucho m谩s que declarar unos ficheros y poner unos textos legales bien monos en el footer de tu web. Antes de hablar de las medidas de seguridad que nos trae el reglamento de protecci贸n de datos, veamos algunas cosas.

Para que nos aclaremos, la protecci贸n de datos es una cuesti贸n de principios. No es un tr谩mite, no es un parip茅, no es un tema ornamental para que nuestros clientes piensen que somos legales y 鈥済uais鈥 de cara a la galer铆a mientras en la trastienda hacemos lo que nos viene mejor con sus datos.

Hablar de protecci贸n de datos es respetar, cuidar y ser responsables con la informaci贸n que nos conf铆an los dem谩s para que desarrollemos nuestro trabajo.

Por eso no podemos pensar en la protecci贸n de datos como un mero tr谩mite, porque se trata de algo bien distinto, se trata de un modelo de gesti贸n responsable y comprometido de la informaci贸n personal de otros y de una cultura de trabajo vinculada a la protecci贸n de esa informaci贸n. Los usuarios ya se est谩n familiarizando con sus derechos.

驴Eso qu茅 significa?

Significa b谩sicamente, tener en cuenta la seguridad de la informaci贸n que recabamos, gestionamos y almacenamos y para eso, necesitamos pensar en las medidas de seguridad que debemos aplicar a esa informaci贸n para cumplir con los derechos digitales y los derechos de protecci贸n de datos.

驴Qu茅 pasar谩 con las medidas de seguridad con el nuevo RGPD?

A diferencia de la LOPD, que impon铆a una serie de medidas de seguridad est谩ndar en funci贸n a la clasificaci贸n de los ficheros (bajo, medio o alto), el Reglamento General de Protecci贸n de Datos en sus siglas (RGPD) parte de otro enfoque de la seguridad.

Ya no ofrece un repertorio de medidas de seguridad de protecci贸n de datos predefinidas que debemos aplicar, lo que plantea el RGPD es que esas medidas se establezcan en funci贸n al riesgo detectado.

B谩sicamente se trata de un enfoque proactivo en lo que respecta a la seguridad que exige no s贸lo la existencia de esas medidas en un papel sino la aplicaci贸n efectiva de esas medidas.

驴Porqu茅 son necesarias las medidas de seguridad para protecci贸n de datos y de que riesgos legales estar铆amos hablando?

El art铆culo 5.1.f del Reglamento General de Protecci贸n de Datos (RGPD) determina la necesidad de establecer garant铆as de seguridad adecuadas que eviten, fundamentalmente, dos cosas:

  • El tratamiento no autorizado o il铆cito de datos personales.
  • La p茅rdida de los datos personales, la destrucci贸n o el da帽o accidental.

Para poder evitar ambos riesgos, se exige a las empresas y profesionales que gestionen informaci贸n personal que establezcan medidas t茅cnicas y organizativas encaminadas a asegurar la integridad y confidencialidad de los datos personales y la de demostrar que estas medidas se han llevado a la pr谩ctica (lo que conocemos como responsabilidad proactiva).

Como ves, ya no valen los parip茅s, el reglamento no los admite, toca ponerse las pilas y pensar que la seguridad no debe ser una imposici贸n sino una cuesti贸n de supervivencia.

驴Qu茅 pasar铆a si todos los datos de tus clientes fueran filtrados? 驴C贸mo podr铆as levantar cabeza si te borran toda tu base de datos y no tienes un respaldo de datos? 驴Y qu茅 pasar铆a si tu lista de distribuci贸n empieza a recibir spam desde tu dominio sin que t煤 hayas intervenido?

Est谩 claro que de pasarte algo de eso, tendr铆as no pocos problemas, para empezar, tu reputaci贸n quedar铆a resquebrajada, tanto como tu credibilidad, perder铆as tu principal activo de trabajo, tu base de datos, y en caso de denuncia, las sanciones que te impondr铆an ser铆an tan dolorosas como un cubo de hielo en la cabeza.

La 煤nica manera de evitar todos esos problemones, es mostrar diligencia, algo que se consigue siendo capaz de acreditar que has hecho todos los esfuerzos necesarios para evitar que esto ocurriera, es decir, aplicando todas las medidas de seguridad t茅cnicas y organizativas necesarias.

Ejemplos medidas de seguridad RGPD

Como indicamos anteriormente, el RGPD indica que las medidas de protecci贸n de datos personales deber谩n ser proporcionales y adecuadas al riesgo detectado, pero hay algunas medidas de protecci贸n de datos m铆nimas de seguridad que nos propone si los tratamientos que realizamos no entra帽an riesgos elevados.聽

Por ejemplo si no tratamos datos especialmente protegidos, como los relativos al origen 茅tnico o racial, ideolog铆a pol铆tica religiosa o filos贸fica, filiaci贸n sindical, datos gen茅ticos y biom茅tricos, datos de salud, y datos de orientaci贸n sexual de las personas as铆 como cualquier otro tratamiento de datos que entra帽e alto riesgo para los derechos y libertades de las personas.聽En ese caso si tendr铆amos que implementar medidas de seguridad de nivel alto en rgpd, ya que podemos encontrar varios tipos de niveles de seguridad rgpd seg煤n los datos que trates.聽

Las medidas de seguridad deben ser tanto t茅cnicas como organizativas.

La agencia espa帽ola de protecci贸n de datos propone una serie de medidas聽 t茅cnicas y organizativas rgpd que te transcribimos para que puedas conocerlas de primera mano.

Medidas Organizativas

Deber谩s informar a todo el personal con acceso a datos personales acerca de sus obligaciones con relaci贸n a los tratamientos de datos personales .La informaci贸n m铆nima que ser谩 conocida por todo el personal ser谩 la siguiente:

Deber de confidencialidad y secreto


  • Se deber谩 evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitar谩: dejar los datos personales expuestos a terceros (pantallas electr贸nicas desatendidas, documentos en papel en zonas de acceso p煤blico, soportes con datos personales, etc.), esta consideraci贸n incluye las pantallas que se utilicen para la visualizaci贸n de im谩genes del sistema de videovigilancia. Cuando se ausente del puesto de trabajo, se proceder谩 al bloqueo de la pantalla o al cierre de la sesi贸n.
  • Los documentos en papel y soportes electr贸nicos se almacenar谩n en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del d铆a.
  • No se desechar谩n documentos o soportes electr贸nicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucci贸n.
  • No se comunicar谩n datos personales o cualquier informaci贸n personal a terceros, se prestar谩 atenci贸n especial en no divulgar datos personales protegidos durante las consultas telef贸nicas, correos electr贸nicos, etc.
  • El deber de secreto y confidencialidad persiste incluso cuando finalice la relaci贸n laboral del trabajador con la empresa.

Derechos de titularidad de los datos

Se informar谩 a todos los trabajadores acerca del procedimiento para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los derechos (medios electr贸nicos, referencia al Delegado de Protecci贸n de Datos si lo hubiera, direcci贸n postal, etc.) teniendo en cuenta lo siguiente:

Previa presentaci贸n de su documento nacional de identidad o pasaporte, los titulares de los datos personales (interesados) podr谩n ejercer sus derechos de acceso, rectificaci贸n, supresi贸n y oposici贸n. El responsable del tratamiento deber谩 dar respuesta a los interesados sin dilaci贸n indebida.

Para el derecho de acceso se facilitar谩 a los interesados la lista de los datos personales de que disponga junto con la finalidad para la que han sido recogidos, la identidad de los destinatarios de los datos, los plazos de conservaci贸n, y la identidad del responsable ante el que pueden solicitar la rectificaci贸n supresi贸n y oposici贸n al tratamiento de los datos.

Para el derecho de rectificaci贸n se proceder谩 a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.

Para el derecho de supresi贸n se suprimir谩n los datos de los interesados cuando los interesados manifiesten su negativa u oposici贸n al consentimiento para el tratamiento de sus datos y no exista deber legal que lo impida.

El responsable del tratamiento deber谩 informar a todas las personas con acceso a los datos personales acerca de los t茅rminos de cumplimiento para atender los derechos de los interesados, la forma y el procedimiento en que se atender谩n dichos derechos.

Violaciones de seguridad de datos de car谩cter personal

Cuando se produzcan violaciones de seguridad DE DATOS DE CAR脕CTER PERSONAL, como por ejemplo, el robo o acceso indebido a los datos personales se notificar谩 a la Agencia Espa帽ola de Protecci贸n de Datos en t茅rmino de 72 horas acerca de dichas violaciones de seguridad, incluyendo toda la informaci贸n necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales. La notificaci贸n se realizar谩 por medios electr贸nicos a trav茅s de la sede electr贸nica de la Agencia Espa帽ola de Protecci贸n de Datos en la direcci贸n: https://sedeagpd.gob.es

Medidas t茅cnicas

Identificaci贸n del usuario

Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador.

Se recomienda disponer de perfiles con derechos de administraci贸n para la instalaci贸n y configuraci贸n del sistema y usuarios sin privilegios o derechos de administraci贸n para el acceso a los datos personales. Esta medida evitar谩 que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.

Se garantizar谩 la existencia de contrase帽as para el acceso a los datos personales almacenados en sistemas electr贸nicos. La contrase帽a tendr谩 al menos 8 caracteres, mezcla de n煤meros y letras.

Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondr谩 de un usuario y contrase帽a espec铆ficos (identificaci贸n inequ铆voca).

Se debe garantizar la confidencialidad de las contrase帽as, evitando que queden expuestas a terceros. En ning煤n caso se compartir谩n las contrase帽as ni se dejar谩n anotadas en lugar com煤n y el acceso de personas distintas del usuario.聽

Deber de salvaguarda

Las medidas t茅cnicas m铆nimas para garantizar la salvaguarda de los datos personales:

  • Actualizaci贸n de ordenadores y dispositivos: Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deber谩n mantenerse actualizados en la medida posible.
  • Malware: En los ordenadores y dispositivos donde se realice el tratamiento automatizado de los datos personales se dispondr谩 de un sistema de antivirus que garantice en la medida posible el robo y destrucci贸n de la informaci贸n y datos personales. El sistema de antivirus deber谩 ser actualizado de forma peri贸dica.

  • Cortafuegos o firewall: Para evitar accesos remotos indebidos a los datos personales se velar谩 para garantizar la existencia de un firewall activado en aquellos ordenadores y dispositivos en los que se realice el almacenamiento y/o tratamiento de datos personales.
  • Cifrado de datos: Cuando se precise realizar la extracci贸n de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios f铆sicos o por medios electr贸nicos, se deber谩 valorar la posibilidad de utilizar un m茅todo de encriptaci贸n para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la informaci贸n.
  • Copia de seguridad: Peri贸dicamente se realizar谩 una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenar谩 en lugar seguro, distinto de aqu茅l en que est茅 ubicado el ordenador con los ficheros originales, con el fin de permitir la recuperaci贸n de los datos personales en caso de p茅rdida de la informaci贸n.

Tambi茅n advierten muy acertadamente que las medidas de seguridad de protecci贸n de datos ser谩n revisadas de forma peri贸dica y que esta revisi贸n podr谩 realizarse por mecanismos autom谩ticos (software o programas inform谩ticos) o de forma manual.

Recuerda que debes considerar que cualquier incidente de seguridad inform谩tica que le haya ocurrido a cualquier conocido te puede ocurrir a ti, por eso debes tomar todas las medidas de seguridad de datos personales necesarias para evitar sanciones rgpd y proteger los datos de tus usuarios como merecen.

EIPD para un an谩lisis de riesgo

La EIPD (Evaluaci贸n de Impacto) son instrumentos importantes para la rendici贸n de cuentas, ya que ayudan a los responsables no solo a cumplir los requisitos del RGPD, sino tambi茅n a demostrar que se han tomado medidas adecuadas para garantizar el cumplimiento del Reglamento.聽 En otras palabras, una EIPD, o evaluaci贸n de impacto de protecci贸n de datos, es un proceso utilizado para reforzar y demostrar el cumplimiento RGPD.聽

Debes tener en cuenta que la EIPD solo es necesaria para nuevos tratamientos de datos que pueden provocar un elevado riesgo para los derechos y libertades de las personas con lo cual necesitan un an谩lisis de riesgo AEPD.

驴Cu谩ndo es obligatorio hacer una EIPD?

  • En la evaluaci贸n de impacto o puntuaci贸n para la elaboraci贸n de perfiles y la predicci贸n de aspectos vinculados con: el rendimiento de trabajo, la salud, preferencias e intereses personales, etc..
  • Evaluaci贸n o puntuaci贸n con efecto jur铆dico, lo cual podr铆a provocar explusi贸n o discriminaci贸n de una persona.
  • Observaci贸n sistem谩tica, este tratamiento se usa para observar, supervisar y controlar a los interesados, incluidos los datos recogidos a trav茅s de redes u observaci贸n sistem谩tica de una zona de acceso p煤blico. Los interesados no son conscientes de que se est谩n recopilando estos datos.聽
  • Datos sensibles o muy personales, como el historial cl铆nico de pacientes, o datos guardados por un investigador privado sobre delincuentes.聽
  • La EIPD tambi茅n es necesaria realizarla en los tratamientos de datos a gran escala, para lo cual se debe tener en cuenta, el n煤mero de interesados afectados, el volumen de los datos, el alcance geogr谩fico.聽
  • Asociaci贸n o combinaci贸n de conjuntos de datos: cuando los datos personales procedentes de dos o m谩s operaciones de tratamiento de datos que se realicen para fines distintos o por distintos responsables del tratamiento que exceda las expectativas razonables del interesado.
  • Datos relativos a interesados vulnerables, como pueden ser: el tratamiento de datos personales de los ni帽os, empleados o segmentos vulnerables de la poblaci贸n como personas con enfermedades mentales,solicitantes de asilo, personas mayores, pacientes u otros similares en que se pueda identificar ese desequilibrio en la relaci贸n de posici贸n interesado-responsable.
  • Uso innovador o aplicaci贸n de nuevas soluciones tecnol贸gicas u organizativas, por ejemplo aplicaciones de internet de las cosas podr铆an tener un impacto significativo en la vida diaria y en la privacidad de las personas.聽
  • Cuando el tratamiento impida a una persona f铆sica ejercer un derecho, utilizar un servicio o ejecutar un contrato: por ejemplo Banco que investiga a sus clientes en una base de datos de referencia de cr茅dito con el fin de decidir si les ofrece un pr茅stamo preconcedido.聽

Ya conoces los nueve casos es que ser铆a obligatorio hacer una EIPD o PIA de protecci贸n de datos (Privacy Impact Assestment)

Cumple con todas las medidas de seguridad RGPD con Legal Box Plus

Cumplir con todas las medidas de seguridad rgpd de forma f谩cil y r谩pida solo podr谩s conseguirlo si trabajas la legalidad de tu sitio web o negocio, y qu茅 mejor manera de hacerlo que con Legal Box Plus.聽

La herramienta Legal Box te ayudar谩 a adaptar legalmente tu negocio adem谩s de actualizar tus textos legales diariamente para no recibir ninguna sorpresa de la AEPD. Evitar multas de RGPD con Legal Box Plus es f谩cil, escoge el plan que m谩s se adecua a tu negocio, cumplimenta los datos necesarios para crear textos legales adaptados a ti y utiliza el enlace generado para a帽adirlos donde necesites. 隆F谩cil y r谩pido!

4 comentarios en “驴Qu茅 medidas de seguridad rgpd me exige el nuevo reglamento de protecci贸n de datos?”

  1. La verdad es que son demasiados nuevos conceptos que manejar. Lo m谩s fiable es contar con una empresa que de servicios de implantaci贸n para asegurarte que todo est谩 en orden. Es una peque帽a inversi贸n pero puede ahorrarte muchos problemas y sanciones.

    1. Hola Ra煤l!
      Ante todo agradecerte te hayas pasado por el blog y comentar.
      Efectivamente son muchas las cuestiones a tener en cuenta y contar con una empresa como la nuestra acorta los tiempos. Pero si adem谩s lo haces con nuestra app Legal Box Basic te ser谩 mucho m谩s f谩cil y econ贸mico. Y acceder谩s a servicios gratuitos de soporte y seguro antisanciones.
      Vosotros tambi茅n aport谩is vuestro granito de arena en todo esto con vuestros servicios de destrucci贸n de documentos confidenciales. Gracias por ello. Seguro podemos aprovechar sinergias.
      Un fuerte abrazo

Deja un comentario

Tu direcci贸n de correo electr贸nico no ser谩 publicada.

Responsable: Luz Soluciones TIC, S.L (Legal Box Plus)
Finalidad: Moderar y responder comentarios de usuarios.
Legitimaci贸n: Consentimiento del interesado.
Destinatarios: No se ceder谩n a terceros salvo obligaci贸n legal.

Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificaci贸n, supresi贸n, limitaci贸n, oposici贸n y dem谩s derechos legalmente establecidos a trav茅s del siguiente e-mail: info@legalbox.plus.

Informaci贸n adicional: Puedes consultar la informaci贸n adicional y detallada obre Protecci贸n de Datos aqu铆: pol铆tica de privacidad.

>
X