Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

Medidas de seguridad RGPD para la protección de datos personales

Pese a que en el RGPD se exige que las entidades sean proactivas a la hora de garantizar la protección de los datos, en el reglamento no se especifican cuáles deben ser las medidas de seguridad para la protección de datos personales que se deben implementar. En este artículo explicaremos cómo elegir las medidas de seguridad RGPD adecuadas para garantizar la protección de datos de vuestra empresa.

La importancia de las medidas de seguridad en la protección de datos

La Ley de Protección de Datos actual exige a las organizaciones que sean proactivas a la hora de implementar medidas de seguridad para proteger los datos personales que tratan de sus clientes y empleados, pero a diferencia de normativas anteriores, el RGPD y la LOPDGDD ya no listan una serie de medidas de seguridad obligatorias, sino que adoptan un enfoque más flexible y dinámico, basado en el análisis y evaluación de riesgos de los tratamientos de datos, para determinar qué medidas de seguridad son necesarias aplicar para garantizar una protección de datos por defecto y adecuada a los niveles de riesgo de cada tratamiento.

En la protección de datos, las medidas de seguridad de la información son un pilar clave, porque son las encargadas de garantizar no solo la confidencialidad de la información, sino de que los titulares de los datos no puedan ver perjudicados sus derechos y libertades a causa de una brecha de seguridad que haya podido dejar expuestos sus datos personales.

Cualquier tratamiento de datos personales debe garantizar la protección de esos datos desde el diseño y por defecto, lo que implica haber evaluado los posibles riesgos que entraña el tratamiento para los derechos y libertades de las personas y adoptado las medidas de seguridad RGPD para minimizar la posibilidad de que esos riesgos se materialicen y, en caso de que lo hagan, reducir su impacto en las vidas de los afectados.

Pongamos, por ejemplo, que una empresa tiene una base de datos en la que se almacenan los nombres, apellidos y número de teléfono de sus clientes. Si no tiene implementada ninguna medida de seguridad que proteja esa base de datos de accesos no autorizados y, además, los datos no están cifrados, en caso de un acceso no autorizado, podrían filtrarse los datos y exponer a los titulares de los mismos a spam telefónico o intentos de estafas telefónicas o a través de SMS.

Cuatro conceptos básicos relacionados con la seguridad de la información

Cualquier medida de seguridad para la protección de datos personales debe tener en cuenta estos cuatro conceptos básicos sobre la seguridad la información:

  • Confidencialidad: La información solo debe ser accesible a aquellas personas o sistemas autorizados, de manera que se protegerá mediante procedimientos de identificación y autenticación de usuarios, controles de acceso físico y lógico y contraseñas robustas, que se cambiarán cada cierto tiempo.
  • Integridad: Es la garantía de que la información, en este caso los datos personales, no serán manipulados, modificados o alterados. Para ello, aparte de limitar el acceso a personas o sistemas autorizados, se protegerán mediante técnicas de cifrado.
  • Disponibilidad: Es la capacidad de poder acceder a los datos en cualquier momento que sea necesario, siempre que se esté autorizado para ello. Se puede garantizar mediante la creación de copias de seguridad y respaldo de las bases de datos.
  • Resiliencia: Es la capacidad del sistema de información de seguir funcionando incluso cuando es objeto de problemas o incidencias. La creación y adopción de planes de continuidad de negocio pueden ayudar a garantizar esto.

tarifas proteccion datos

¿Qué dice sobre las medidas de seguridad el RGPD?

El Reglamento General de Protección de Datos, como hemos dicho, no enumera una lista de medidas de seguridad obligatorias, sino que indica que son el responsable y, en su caso, el encargado del tratamiento quienes deben determinar las medidas de seguridad RGPD que deben implementarse tras realizar un análisis de los riesgos que pueden implicar los tratamientos de datos personales para los derechos y libertades de los titulares de los datos.

Para ello, las medidas de seguridad RGPD deben tener en cuenta «el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas». Así mismo, también tendrán en cuenta «los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos».

Además, todas medidas de seguridad RGPD deben incluirse en el registro de actividades de tratamiento.

Aunque hemos dicho que el RGPD no lista medidas de seguridad obligatorias, si nos ofrece en su artículo 32 las medidas de protección al tratamiento de datos personales que deben establecerse como mínimo:

  • La seudonimización y el cifrado de los datos personales.
  • Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y los servicios de tratamiento.
  • Tener la capacidad de restaurar la disponibilidad y el acceso a los datos personales lo más rápidamente que sea posible, tras sufrir un incidente físico o técnico.
  • Establecer un proceso de verificación, evaluación y valoración periódico de la efectividad de las medidas de seguridad.

medidas de seguridad para la protección de datos personales

¿Cómo decidir qué medidas de seguridad RGPD implantar?

Como ya hemos señalado, para decidir qué medidas de seguridad RGPD implantar para garantizar la protección de datos personales, el responsable y, en su caso, el encargado del tratamiento deben llevar a cabo un análisis de los riesgos potenciales que supone cada uno de los tratamientos de datos que se vayan a realizar (si no terminan de quedarte claro las diferencias entre responsable y encargado, échale un vistazo a unos ejemplos de encargados del tratamiento).

Del análisis de riesgos, en el que se tiene en cuenta si son datos especialmente protegidos o no, deben surgir las medidas de seguridad RGPD más adecuadas para minimizar las posibilidades de materialización de las amenazas y la reducción del impacto sobre los derechos y libertades de los titulares de los datos.

Las medidas de seguridad son una obligación de medios y no de resultado

Como hemos visto, la normativa de protección de datos establece como obligación para los responsables y encargados del tratamiento la implantación de medidas de seguridad que garanticen la protección de los datos personales que se tratan. Sin embargo, pese a la aplicación de las medidas de seguridad, en ocasiones se producen brechas de seguridad que ponen en riesgo dichos datos.

En estos casos, la AEPD ha sancionado a los responsables o encargados del tratamiento con motivo de la brecha de seguridad, pese a que estos tuvieran implementadas medidas de seguridad adecuadas para tratar de prevenirlas. Las sanciones por brechas de seguridad, aun teniendo medidas de seguridad implementadas, es un tema que ha suscitado muchas dudas y generado recursos. Finalmente, el Tribunal Supremo, en una sentencia de febrero de 2022, ha establecido que la protección de datos es una obligación de medios y no de resultados. Pero, ¿qué significa esto?

En esencia, significa que cuando un responsable o encargado del tratamiento ha aplicado las medidas de seguridad para la protección de datos con la diligencia debida, no son responsables jurídicamente de la brecha de seguridad. Es decir, que si las medidas de seguridad implementadas son efectivas y se aplican debidamente por el responsable o el encargado del tratamiento, en caso de producirse una brecha de seguridad por un incidente o por la negligencia de un empleado, el responsable o el encargado no deberían ser sancionados.

Ahora bien, esa misma sentencia del Tribunal Supremo establece también que no es suficiente con «diseñar los medios técnicos y organizativos necesarios, también es necesaria su correcta implantación y su utilización de forma apropiada, de modo que también responderá [el responsable o el encargado] por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso».

Por lo tanto, responsables y encargados del tratamiento deben diseñar e implementar las medidas de seguridad para la protección de datos, pero también deben asegurarse de que sus empleados u otros terceros que pudieran tener acceso a los datos, respeten y apliquen dichas medidas de seguridad.

Medidas de seguridad para la protección de datos

Puesto que ni el RGPD ni la LOPDGDD ofrecen ya una lista de medidas obligatorias, a continuación vamos a dejar un listado con las medidas de seguridad RGPD que se pueden implementar en las empresas para garantizar la seguridad de los datos personales tratados.

Si bien, os recordamos que las medidas a adoptar por vuestra empresa deben estar basadas en un análisis de riesgos de cada tratamiento de datos que vayáis a realizar, porque no todas las actividades de tratamiento implican los mismos riesgos y tienen el potencial de causar los mismos daños y perjuicios a los titulares de los datos.

Medidas de seguridad RGPD técnicas

Las medidas de seguridad técnicas son aquellas que aplicamos sobre los propios sistemas de información, las más habituales suelen ser:

  • Instalación de antivirus, sistemas EDR, seguridad Endpoint, firewalls o cualquier solución de seguridad que proteja los equipos y dispositivos y la red interna de la empresa.
  • Protección del correo electrónico, como protocolos contra el phishing.
  • Gestión de actualizaciones para solucionar vulnerabilidades.
  • Cifrado de ficheros, discos duros y memorias USB.
  • Protocolos y políticas de copias de seguridad.
  • Gestión del borrado y destrucción de archivos y unidades externas de memoria.
  • Gestión centralizada de controles de acceso y contraseñas.
  • Gestión de usuarios, roles y privilegios basados en una política de privilegios mínimos y zero trust.

Medidas de seguridad RGPD organizativas

Por su parte, las medidas de seguridad organizativas son aquellas que engloban las políticas y procedimientos aprobados por la dirección de la empresa para concienciar y formar a los empleados en materia de seguridad de la información. Las más habituales son:

  • Planes de seguridad de la información y de tratamiento de datos.
  • Creación de una normativa de ciberseguridad.
  • Establecimiento de procedimientos de seguridad.
  • Políticas de uso de dispositivos corporativos o BYOD (dispositivos personales de los empleados).
  • Protocolos para el control de documentos y registros.
  • Política para el manejo y tratamiento de información confidencial.
  • Inclusión de cláusula de seguridad y confidencialidad para proveedores.
  • Política de controles de acceso.
  • Designación de un Responsable de Seguridad de la Información.
  • Designación de un Delegado de Protección de Datos.
  • Realización periódica de auditorías de seguridad y de protección de datos.

¿Dónde podemos encontrar recomendaciones sobre medidas de seguridad RGPD a implantar para garantizar la protección de datos?

Si a la hora de decidir qué medidas de seguridad RGPD son las más adecuadas os encontráis algo perdidos, siempre podéis acudir a diferentes fuentes donde podréis encontrar recomendaciones sobre cuáles son las medidas de seguridad técnicas y organizativas que puede implementar vuestra empresa.

Entre esas fuentes destacamos las siguientes:

  • El Esquema Nacional de Seguridad (ENS), aunque está orientado a las Administraciones Públicas, sus requisitos mínimos y medidas de seguridad pueden servir para empresas.
  • La Agencia Europea de Seguridad de las Redes y Sistemas de la Información de la UE (ENISA), que se centra especialmente en la nube, el big data y protección de datos, infraestructuras críticas y respuesta a incidentes, pero además emite informes y opiniones sobre medidas de seguridad en protección de datos.
  • Las secciones de herramientas y guías de la AEPD.
  • La ISO 27001, que es el principal estándar para la seguridad de la información, a través de la cual se puede establecer un sistema de gestión de la seguridad de la información empleando una metodología clara y comprensible.

O también podéis solicitar el asesoramiento experto de una consultora especializada en protección de datos, que os ayudará, basándose en vuestra actividad económica y los datos personales que manejáis, a escoger las medidas de seguridad RGPD más adecuadas para vuestra empresa.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.