Medidas técnicas y organizativas en protección de datos

En muchos de nuestros artículos sobre protección de datos mencionamos la obligación que tienen las organizaciones de adoptar medidas técnicas y organizativas que garanticen la protección de los datos personales que tratan, pero ¿qué son estas medidas técnicas y organizativas en protección de datos? ¿Cómo se eligen las más adecuadas? ¿Cómo se implementan en la organización?

¿Qué son las medidas técnicas y organizativas en protección de datos?

Las medidas técnicas y organizativas en protección de datos, o medidas técnicas y organizativas RGPD, son aquellas medidas de seguridad, tanto de carácter preventivo como reactivo, cuya función y objetivo es garantizar la confidencialidad, integridad y disponibilidad de los datos personales.

Las medidas técnicas son aquellas que se aplican directamente sobre los sistemas de información, es decir, en los sistemas que usamos para manejar la información (sea almacenarla, gestionarla, transferirla, editarla, etc.). Mientras que las medidas organizativas son las políticas y procedimientos aprobados por la organización para gestionar el uso de la información (ya estén orientadas a la prevención o la prohibición).

Aunque nos referimos a estas medidas dentro del contexto de protección de datos y en este artículo nos vamos a circunscribir a las medidas de seguridad RGPD, lo cierto es que estas medidas técnicas y organizativas se derivan no solo de las políticas de protección de datos diseñadas por la organización, sino de todas aquellas políticas y procedimientos relacionados con la seguridad de la información, ya que en muchos casos la protección de datos depende de esta.

Cabe señalar que el RGPD establece el principio de accountability, que implica que es la organización quién, como responsable o encargada del tratamiento, desde el diseño y por defecto, debe aplicar las medidas de seguridad adecuadas para garantizar la protección de datos. Esto significa que, en base a los tratamientos de datos que tenga previsto realizar, la organización debe adoptar, aplicar y gestionar aquellas medidas técnicas y organizativas más adecuadas para garantizar la seguridad de los datos personales.

Las medidas técnicas y organizativas en protección de datos deben desarrollarse e ir en paralelo, especialmente porque la implementación de algunas medidas técnicas dependen de medidas organizativas. Pero ¿cuáles son exactamente esas medidas técnicas y organizativas?

¿Cuáles son las medidas técnicas en protección de datos?

Lo cierto es que el RGPD es bastante vago respecto a qué medidas técnicas y organizativas deben adoptar las organizaciones, puesto que, como hemos dicho, son estas las que deben seleccionar e implementar aquellas más adecuadas para garantizar la protección de datos personales.

Pero podemos ver a modo orientativo las medidas técnicas de seguridad en protección de datos más usadas:

• Implementación de sistemas de seguridad perimetral, como firewall, VPN, servidores Proxy, antivirus, antispyware, etc.
• Protección de endpoint, son soluciones de seguridad que se implementan en los dispositivos que se conectan a la red interna.
• Gestión de actualizaciones y detección de vulnerabilidades.
• Protección del correo electrónico, instalando filtros anti-spam, anti-phishing o sistemas de sandbox.
• Protección web para evitar el acceso a sitios maliciosos, descargas de malware, etc.
• Realización de copias de seguridad.
• Implementar una solución DLP (Prevención de Fuga de Datos).
• Llevar a cabo el cifrado de datos en ficheros, dispositivos externos, correo electrónico, etc.
• Llevar a cabo la seudonimización de datos personales.
• Gestión de controles de acceso y contraseñas.
• Gestión de usuarios y roles y privilegios.

¿Cuáles son las medidas organizativas en protección de datos?

En cuanto a las medidas organizativas en protección de datos, también a modo orientativo y entre las más habituales, tenemos:

• Formación y concienciación de los empleados en materia de seguridad de la información y ciberseguridad. Esta es una de las medidas más importantes y que toda organización debe implementar, con sesiones periódicas de forma de formación para todos los miembros de la plantilla (incluidos directivos). Debemos tener en cuenta que, siempre, el eslabón más débil en una cadena de seguridad es el usuario.
• Política de protección de datos.
• Política de copias de seguridad.
• Designación de un Delegado de Protección de Datos.
• Designación de un responsable de seguridad.
• Política de borrado y destrucción de documentos.
• Política de auditoría de protección de datos.
• Política de uso de dispositivos corporativos.
• Política de uso de dispositivos externos (o personales).
• Política de control de acceso.
• Procedimiento para la gestión de brechas de seguridad.
• Política y procedimiento de actualizaciones.
• Política de teletrabajo.
• Inventario de dispositivos.
• Política de manejo y tratamiento de información confidencial.
• Política de ciberseguridad.
• Registro de actividades de tratamiento.
• Implementación de políticas de privacidad.

¿Cómo elegir las medidas técnicas y organizativas RGPD más eficaces?

Para elegir e implementar las medidas técnicas y organizativas en protección de datos más adecuadas y eficaces, las organizaciones deben saber qué riesgos y amenazas se pueden derivar de los tratamientos de datos personales que tengan previsto realizar y qué probabilidades tienen de materializarse y cuál sería su nivel de impacto para la organización y para los derechos y libertades de los interesados (los titulares de los datos personales).

Para identificar y determinar esos riesgos y amenazas, se deben llevar a cabo los correspondientes análisis de riesgos y, en su caso, evaluación de impacto, de los tratamientos de datos que van a realizar. En base a las conclusiones de estos, se podrán determinar cuáles son las medidas técnicas y organizativas más adecuadas para reducir las probabilidades de materialización de riesgos y, en caso de que ocurran, reducir su impacto.

Los análisis de riesgos también servirán a la organización para saber dónde debe destinar mayores recursos para reforzar la seguridad de la información.

¿Cómo implementar las medidas técnicas y organizativas en protección de datos?

Para implementar las medidas técnicas y organizativas en protección de datos es necesario elaborar un protocolo de protección de datos que recoja todas las medidas adoptadas por la organización y cómo deben aplicarlas o seguirlas los empleados.

También es recomendable contar con una persona o departamento encargado de todo el proceso de implementación, así como supervisión de la aplicación de las medidas adoptadas y llevar un seguimiento de las mismas, así como mantenerse actualizados sobre nuevas amenazas y vulnerabilidades, para actualizar las medidas en caso de ser necesario o adoptar unas nuevas. Habitualmente, en empresas de cierto tamaño, este rol recae en el departamento de IT y en el responsable de seguridad de la información. En empresas más pequeñas que no puedan tener este tipo de departamento o cargo, pueden contratar los servicios de un proveedor de ciberseguridad y protección de datos externo.

En definitiva, escoger e implementar las medidas técnicas y organizativas en protección de datos más adecuadas depende en gran medida de los riesgos que se deriven de los tratamientos de datos personales que la organización tenga previsto realizar, si bien, hay varias de ellas que siempre habrá que aplicar.

Finalmente, señalar que también se deben aplicar medidas técnicas y organizativas en protección de datos abiertos, aunque en este tipo de información de uso libre, se debe respetar la atribución y compartirla de la misma forma en la que han sido publicados, respetando la seguridad y privacidad de la información.