✔ El RGPD exige a las empresas una responsabilidad proactiva a la hora de garantizar la seguridad de sus datos. A continuación, les ofrecemos ejemplos de medidas técnicas y organizativas que deberán implementar las empresas en relación con los riesgos a los que pudieran estar sujetos sus datos.
El RGPD busca proteger los derechos a la protección de sus datos personales y la seguridad, es un medio para garantizar una debida protección de los mismos. El fin es mantener indemne las dimensiones de los datos y cumplir con el principio de integridad y confidencialidad de los mismos. Para ello, no solo se logra mediante la aplicación de medidas técnicas y organizativas como veremos a continuación, sino que entendemos a la seguridad desde una perspectiva global, la cual se verá garantizada con el cumplimiento integral de la normativa. No obstante, la seguridad absoluta como tal no existe dada la imposibilidad de alcanzar niveles de riesgo cero o los altos costos que ello conllevaría.
A diferencia de la derogada ley 15/1999, El RGPD no establece un listado estructurado de medidas de seguridad que deberán ser implantadas en función del riesgo o nivel de seguridad o protección ni tampoco prevé que exista un desarrollo o especificación de las mismas por parte de las Autoridades de Control, Estados Miembros o el propio Comité o Grupo de Trabajo 29. El RGPD obliga a implementar medidas y acreditar su cumplimiento, pero no dice cuáles. Se pasa de un modelo rígido de obligaciones establecido por el RLOPD a un modelo variable o dinámico del RGPD, cuya aplicación o implantación dependerá del caso concreto y del análisis de riesgo que cada responsable o encargado realice en función de los tratamientos de datos que vaya a realizar. Para ello, el artículo 32 del RGPD establece que las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo se definen en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.
El primer paso es realizar un análisis de riesgo cuyo fin es determinar la exposición a los que están sujetos los datos personales, teniendo en cuenta los posibles daños o consecuencias que se podrían generar al materializarse las amenazas y la posibilidad, o frecuencia con la que esa materialización podría producirse. (RIESGO = IMPACTO X PROBABILIDAD). Asimismo, para aplicar dichas medidas, también se tendrán en cuenta, como menciona la norma, otros factores como lo son:
- El estado de la técnica.
- El coste de aplicación.
- La naturaleza del tratamiento.
- El ámbito de aplicación o alcance.
- El contexto.
- Las finalidades del tratamiento.
- Los riesgos de diversa probabilidad y gravedad (no sólo riesgo alto) que entrañe para los derechos y libertades de los interesados.
A continuación, enumeramos algunas de las medidas de seguridad técnica que pueden llegar a aplicarse, dependiendo del riesgo:
-
- Protección de correo electrónico. Anti-spam, anti-phisin con análisis dinámico de comportamiento de programas maliciosos (APT)
- Protección web, filtrado de acceso a sitios maliciosos, descargas de código, detección y alerta de tráfico malicioso.
- Gestión de parches y detección de vulnerabilidades. Actualizaciones de seguridad, antivirus.
- Seguridad en las comunicaciones: Cifrado de ficheros, de discos y USB.
- Realización de copias de seguridad y actualizaciones de sistemas operativos, aplicaciones y parches de seguridad. Backups, actualizaciones automáticas.
- Encriptar información
- Cortafuegos: Firewall es un escudo que protege la red de amenazas externas no legítimas o autorizadas y bloquea las conexiones no autorizadas.
- Garantizar el Borrado, Destrucción.
- Identificación y Autenticación:
- Gestión centralizada de contraseñas, controles de accesos y sesiones.
- Gestión de usuarios, roles y privilegios.
- Gestión de la configuración y de los cambios.
Estas medidas tienen que ser complementadas con políticas o procedimientos internos aprobados por la dirección de la empresa con el fin de concienciar, sensibilizar y formar de los trabajadores. Algunas medidas de seguridad organizativas que recomendamos son las siguientes:
-
- Políticas de seguridad y plan de tratamiento de riesgos.
- Normativa de seguridad.
- Procedimientos de seguridad.
- Proceso de autorización.
- Inventario de activos.
- Política de uso aceptable de los activos
- Procedimientos para control de documentos y registros
- Política para manejo de información clasificada
- Cláusulas de seguridad y confidencialidad para proveedores y socios
- Política de creación de copias de seguridad.
- Registro de control de acceso.
- Designación de DPD. Designación de Responsable de Seguridad.
- Realización de auditorías periódicas.