¡Pide presupuesto en 2 min! ✓
LOPDGDD & RGPD

Las medidas de seguridad para la protección de datos personales

Pese a que en el RGPD se exige que las entidades sean proactivas a la hora de garantizar la protección de los datos, en el reglamento no se especifican cuáles deben ser las medidas de seguridad para la protección de datos personales que se deben implementar. En este artículo explicaremos cómo elegir las medidas de seguridad adecuadas para garantizar la protección de datos de vuestra empresa.

La importancia de las medidas de seguridad en la protección de datos

La Ley de Protección de Datos actual exige a las organizaciones que sean proactivas a la hora de implementar medidas de seguridad para proteger los datos personales que tratan de sus clientes y empleados, pero a diferencia de normativas anteriores, el RGPD y la LOPDGDD ya no listan una serie de medidas de seguridad obligatorias, sino que adoptan un enfoque más flexible y dinámico, basado en el análisis y evaluación de riesgos de los tratamientos de datos, para determinar qué medidas de seguridad son necesarias aplicar para garantizar una protección de datos por defecto y adecuada a los niveles de riesgo de cada tratamiento.

En la protección de datos, las medidas de seguridad de la información son un pilar clave, porque son las encargadas de garantizar no solo la confidencialidad de la información, sino de que los titulares de los datos no puedan ver perjudicados sus derechos y libertades a causa de una brecha de seguridad que haya podido dejar expuestos sus datos personales.

Cualquier tratamiento de datos personales debe garantizar la protección de esos datos desde el diseño y por defecto, lo que implica haber evaluado los posibles riesgos que entraña el tratamiento para los derechos y libertades de las personas y adoptado las medidas de seguridad para minimizar la posibilidad de que esos riesgos se materialicen y, en caso de que lo hagan, reducir su impacto en las vidas de los afectados.

Pongamos, por ejemplo, que una empresa tiene una base de datos en la que se almacenan los nombres, apellidos y número de teléfono de sus clientes. Si no tiene implementada ninguna medida de seguridad que proteja esa base de datos de accesos no autorizados y, además, los datos no están cifrados, en caso de un acceso no autorizado, podrían filtrarse los datos y exponer a los titulares de los mismos a spam telefónico o intentos de estafas telefónicas o a través de SMS.

Cuatro conceptos básicos relacionados con la seguridad de la información

Cualquier medida de seguridad para la protección de datos personales debe tener en cuenta estos cuatro conceptos básicos sobre la seguridad la información:

  • Confidencialidad: La información solo debe ser accesible a aquellas personas o sistemas autorizados, de manera que se protegerá mediante procedimientos de identificación y autenticación de usuarios, controles de acceso físico y lógico y contraseñas robustas, que se cambiarán cada cierto tiempo.
  • Integridad: Es la garantía de que la información, en este caso los datos personales, no serán manipulados, modificados o alterados. Para ello, aparte de limitar el acceso a personas o sistemas autorizados, se protegerán mediante técnicas de cifrado.
  • Disponibilidad: Es la capacidad de poder acceder a los datos en cualquier momento que sea necesario, siempre que se esté autorizado para ello. Se puede garantizar mediante la creación de copias de seguridad y respaldo de las bases de datos.
  • Resiliencia: Es la capacidad del sistema de información de seguir funcionando incluso cuando es objeto de problemas o incidencias. La creación y adopción de planes de continuidad de negocio pueden ayudar a garantizar esto.

tarifas proteccion datos

¿Qué dice el RGPD sobre las medidas de seguridad que se deben implantar?

El Reglamento General de Protección de Datos, como hemos dicho, no enumera una lista de medidas de seguridad obligatorias, sino que indica que son el responsable y, en su caso, el encargado del tratamiento quienes deben determinar las medidas de seguridad que deben implementarse tras realizar un análisis de los riesgos que pueden implicar los tratamientos de datos personales para los derechos y libertades de los titulares de los datos.

Para ello, esas medidas de seguridad según el RGPD deben tener en cuenta «el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas». Así mismo, también tendrán en cuenta «los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Además, estas medidas de seguridad deben incluirse en el registro de actividades de tratamiento.

Aunque hemos dicho que el RGPD no lista medidas de seguridad obligatorias, si nos ofrece en su artículo 32 las medidas de protección al tratamiento de datos personales que deben establecerse como mínimo:

  • La seudonimización y el cifrado de los datos personales.
  • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y los servicios de tratamiento.
  • Tener la capacidad de restaurar la disponibilidad y el acceso a los datos personales lo más rápidamente que sea posible, tras sufrir un incidente físico o técnico.
  • Establecer un proceso de verificación, evaluación y valoración periódico de la efectividad de las medidas de seguridad.

medidas de seguridad para la protección de datos personales

¿Cómo decidir qué medidas de seguridad implantar?

Como ya hemos señalado, para decidir qué medidas de seguridad implantar para garantizar la protección de datos personales, el responsable y, en su caso, el encargado del tratamiento deben llevar a cabo un análisis de los riesgos potenciales que supone cada uno de los tratamientos de datos que se vayan a realizar (si no terminan de quedarte claro las diferencias entre responsable y encargado, échale un vistazo a unos ejemplos de encargados del tratamiento).

Del análisis de riesgos, en el que se tiene en cuenta si son datos especialmente protegidos o no, deben surgir las medidas de seguridad más adecuadas para minimizar las posibilidades de materialización de las amenazas y la reducción del impacto sobre los derechos y libertades de los titulares de los datos.

Medidas de seguridad para la protección de datos

Puesto que no el RGPD ni la LOPDGDD ofrecen ya una lista de medidas obligatorias, a continuación vamos a dejar un listado con las medidas de seguridad que se pueden implementar en las empresas para garantizar la seguridad de los datos personales tratados.

Si bien, os recordamos que las medidas a adoptar por vuestra empresa deben estar basadas en un análisis de riesgos de cada tratamiento de datos que vayáis a realizar, porque no todas las actividades de tratamiento implican los mismos riesgos y tienen el potencial de causar los mismos daños y perjuicios a los titulares de los datos.

Medidas de seguridad técnicas

Las medidas de seguridad técnicas son aquellas que aplicamos sobre los propios sistemas de información, las más habituales suelen ser:

  • Instalación de antivirus, sistemas EDR, seguridad Endpoint, firewalls o cualquier solución de seguridad que proteja los equipos y dispositivos y la red interna de la empresa.
  • Protección del correo electrónico, como protocolos contra el phishing.
  • Gestión de actualizaciones para solucionar vulnerabilidades.
  • Cifrado de ficheros, discos duros y memorias USB.
  • Protocolos y políticas de copias de seguridad.
  • Gestión del borrado y destrucción de archivos y unidades externas de memoria.
  • Gestión centralizada de controles de acceso y contraseñas.
  • Gestión de usuarios, roles y privilegios basados en una política de privilegios mínimos y zero trust.

Medidas de seguridad organizativas

Por su parte, las medidas de seguridad organizativas son aquellas que engloban las políticas y procedimientos aprobados por la dirección de la empresa para concienciar y formar a los empleados en materia de seguridad de la información. Las más habituales son:

  • Planes de seguridad de la información y de tratamiento de datos.
  • Creación de una normativa de ciberseguridad.
  • Establecimiento de procedimientos de seguridad.
  • Políticas de uso de dispositivos corporativos o BYOD (dispositivos personales de los empleados).
  • Protocolos para el control de documentos y registros.
  • Política para el manejo y tratamiento de información confidencial.
  • Inclusión de cláusula de seguridad y confidencialidad para proveedores.
  • Política de controles de acceso.
  • Designación de un Responsable de Seguridad de la Información.
  • Designación de un Delegado de Protección de Datos.
  • Realización periódica de auditorías de seguridad y de protección de datos.

¿Dónde podemos encontrar recomendaciones sobre medidas de seguridad a implantar para garantizar la protección de datos?

Si a la hora de decidir qué medidas de seguridad son las más adecuadas os encontráis algo perdidos, siempre podéis acudir a diferentes fuentes donde podréis encontrar recomendaciones sobre cuáles son las medidas de seguridad técnicas y organizativas que puede implementar vuestra empresa.

Entre esas fuentes destacamos las siguientes:

  • El Esquema Nacional de Seguridad (ENS), aunque está orientado a las Administraciones Públicas, sus requisitos mínimos y medidas de seguridad pueden servir para empresas.
  • La Agencia Europea de Seguridad de las Redes y Sistemas de la Información la UE (ENISA), que se centra especialmente en la nube, el big data y protección de datos, infraestructuras críticas y respuesta a incidentes, pero además emite informes y opiniones sobre medidas de seguridad en protección de datos.
  • Las secciones de herramientas y guías de la AEPD.
  • La ISO 27001, que es el principal estándar para la seguridad de la información, a través de la cual se puede establecer un sistema de gestión de la seguridad de la información empleando una metodología clara y comprensible.

¿Te gustaría recibir un presupuesto?

PROTECCIÓN DE DATOS

· Adaptación al RGPD y LOPD-GDD

· Textos legales para sitios web

· Consentimientos de clientes, pacientes...

IGUALDAD

· Auditoría retributiva

· Protocolo de acoso

· Registro del Plan de Igualdad

Escríbenos o llámanos al 914 896 419