¿De qué hablamos cuando mencionamos en nuestros artículos el principio de integridad y confidencialidad? ¿Qué implica la aplicación de estos principios en la protección de datos? ¿Cómo podemos cumplir con el principio de confidencialidad e integridad?
En este artículo hablamos de:
¿Qué es el principio de confidencialidad e integridad?
El principio de confidencialidad e integridad es uno de los seis principios de la protección de datos que recoge el RGPD en su artículo 5, en concreto la letra f) nos dice que los datos personales serán:
Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Es decir, el principio de confidencialidad e integridad se refiere a que es obligación de responsables y encargados del tratamiento adoptar las medidas de seguridad adecuadas para evitar el acceso no autorizado por parte de terceros a los datos personales que manejan, así como evitar que estos datos sean manipulados, destruidos o dañados tanto de forma accidental (por ejemplo, debido a un borrado no intencionado de la información) como intencional (por ejemplo, un ciberataque).
El significado y alcance del principio de confidencialidad aquí va más allá de lo que implica el principio de confidencialidad en los entornos digitales, puesto que la protección de datos debe aplicarse no solo a la información personal en soporte digital, sino también en soportes físicos. Por lo tanto, cuando hablamos de garantizar la integridad y la confidencialidad de la información en este sentido, nos estamos refiriendo a cualquier tipo de tratamiento de datos personales, digitalizado o no, y a las medidas de seguridad que es necesario adoptar para evitar accesos y usos ilícitos de los datos personales.
Aparte de las consideraciones que establece el RGPD sobre el principio de confidencialidad e integridad, el artículo 5 de LOPDGDD también establece el deber de confidencialidad para responsables y encargados del tratamiento (haciendo referencia al artículo 5.1.f del RGPD), así como del resto de personas que intervengan en cualquiera de las fases del tratamiento (es decir, está hablando de empleados o colaboradores que para el desempeño de sus obligaciones laborales o contractuales, deben acceder a datos personales).
Además, el apartado 2 de este artículo 5 de la normativa española nos dice que este deber de confidencialidad «será complementario de los deberes de secreto profesional». Ahora bien, cabe señalar que de estas consideraciones queda fuera el acuerdo de confidencialidad (y, por extensión, del aviso de confidencialidad), al tratarse de un acuerdo entre dos o más partes relativo a la información que intercambiarán entre ellas y que no tiene relación con la protección de datos personales.
¿Cómo se garantiza la confidencialidad e integridad en protección de datos?
Como el propio RGPD indica, para garantizar la confidencialidad e integridad de los datos personales, es necesario que responsables y encargados del tratamiento adopten y apliquen medidas de seguridad técnicas y organizativas adecuadas.
Para determinar cuáles son esas medidas de seguridad adecuadas, es necesario realizar un análisis de riesgos de los tratamientos de datos que se van a realizar y de todo lo que implica dicho tratamiento (cómo se recogerán los datos, dónde se conservarán, quién tendrá acceso a ellos, durante cuánto tiempo se guardarán, etc.).
El análisis de riesgos servirá para, por un lado, identificar los riesgos y amenazas a las que pueden quedar expuestos los datos personales, y, por otro lado, para determinar la probabilidad de que ocurran, así como su nivel de impacto en los derechos y libertades de los interesados (los titulares de los datos personales). Las conclusiones del análisis de riesgos nos ayudarán a decidir qué medidas de seguridad adoptar antes de realizar los tratamientos.
Algunas de esas medidas de seguridad cuyo objetivo sea garantizar la confidencialidad y la integridad de los datos personales serían:
- Cifrado de los datos.
- Seudonimización de los datos.
- Anonimización de los datos.
- Controles de acceso, tanto a recursos concretos que contengan datos personales como dispositivos e instalaciones.
- Firma de la cláusula de confidencialidad con los empleados y colaboradores, para reforzar el cumplimiento del deber de confidencialidad.
- Contar con una política de copias de seguridad.
- Tener implementado un plan de recuperación ante desastres.
- Fijar plazos para la supresión de datos y eliminarlos de manera adecuada.
- Tener implantadas soluciones de seguridad informática.
¿Por qué se debe cumplir con el principio de confidencialidad e integridad?
Se debe cumplir con el principio de confidencialidad e integridad, por la misma razón por la que cumplimos con el principio de consentimiento del afectado, el principio de minimización o de licitud del tratamiento, porque la normativa de protección de datos lo exige.
No cumplir con este principio y no adoptar las medidas de seguridad que garanticen la confidencialidad e integridad de los datos personales que se tratan en la empresa, puede ser motivo de sanción, cuya cuantía, en los casos más graves, puede alcanzar los 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte superior).
Pero además, cumplir adecuadamente con el principio de confidencialidad e integridad, es esencial si queremos mantener la confianza de nuestros clientes; realizar una gestión adecuada de sus datos personales implica, precisamente, mantenerlos seguros tanto de posibles accesos no autorizados por parte de terceros, que podrían usarlos con fines maliciosos, como de posibles manipulaciones o daños, que puedan generar consecuencias negativas para los derechos y libertades de los interesados.
¿Durante cuánto tiempo se debe mantener la confidencialidad finalizado el tratamiento?
La confidencialidad de los datos personales debe mantenerse siempre, incluso una vez finalizado el tratamiento o la relación contractual o comercial que haya propiciado el tratamiento de datos personales. Así lo recoge el apartado 3 del artículo 5 de la LOPDGDD.
Esto implica que una vez finalizado el tratamiento, los datos deberán o bien ser suprimidos, o, en caso de que sea necesario conservarlos durante un periodo de tiempo determinado por otra normativa, bloquearlos, es decir, no realizando tratamientos ulteriores y guardarlos aplicando las medidas de seguridad correspondientes.
En definitiva, cumplir con el principio de confidencialidad e integridad en protección de datos implica tomar y aplicar las medidas de seguridad apropiadas, para evitar que los datos personales que manejamos en la empresa caigan en manos de terceros no autorizados y evitar su alteración, manipulación o destrucción.
Si no tienes muy claro qué medidas de seguridad adoptar o cómo garantizar la confidencialidad e integridad de los datos que tratas en tu negocio, no dudes en ponerte en contacto con Grupo Atico34, nuestros expertos en protección de datos te ayudarán a identificar las medidas de seguridad más adecuadas y a resolver cualquier otra duda relativa a la normativa de protección de datos.