El RGPD especifica que los responsables y los encargados del tratamiento de datos deben aplicar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad de los datos personales adecuado al riesgo.

La siguiente información establece las precauciones básicas que deben tener en cuenta las organizaciones que tratan datos personales (es decir, los responsables y los encargados del tratamiento de datos). No pretende proporcionar una lista completa de las medidas que pueden aplicarse para proteger los datos personales en todos los contextos. Los responsables y encargados del tratamiento deben adaptar estas medidas al contexto (teniendo en cuenta el estado de la técnica, el contexto del tratamiento y el riesgo para las personas físicas).

Seguridad: ¿qué está en juego?

Las consecuencias de la falta de seguridad pueden ser graves: las empresas pueden ver su imagen deteriorada, perder la confianza de sus consumidores, tener que pagar grandes sumas de dinero para recuperarse de un incidente de seguridad (por ejemplo, después de una brecha de datos) o detener su actividad. Los datos personales seguros redundan en interés tanto de las personas como de las organizaciones que los tratan.

Con el fin de evaluar los riesgos generados por cada operación de tratamiento, es aconsejable identificar en primer lugar el impacto potencial en los derechos y libertades de las personas afectadas. Si bien las organizaciones tienen que proteger sus datos (personales o no) para su propio interés, la siguiente información se centra en la protección de los datos de las personas.

La seguridad de los datos tiene tres componentes principales: proteger la integridad, disponibilidad y confidencialidad de los datos. Por lo tanto, las organizaciones deben evaluar los riesgos para lo siguiente:

  1. acceso no autorizado o accidental a los datos — violación de la confidencialidad (por ejemplo, robo de identidad tras la divulgación de las nóminas de todos los empleados de una empresa);
  2. alteración no autorizada o accidental de los datos: violación de la integridad (por ejemplo, acusando falsamente a una persona de una infracción o delito como consecuencia de la modificación de los registros de acceso);
  3. pérdida de datos o pérdida de acceso a los datos: violación de la disponibilidad (por ejemplo, falta de detección de una interacción farmacológica debido a la imposibilidad de acceder al registro electrónico del paciente).

También es aconsejable identificar las fuentes de riesgo (¿quién o qué podría estar en el origen de cada incidente de seguridad?), teniendo en cuenta las fuentes humanas internas y externas (por ejemplo, administrador de TI, usuario, atacante externo, competidor) y fuentes internas o externas no humanas (por ejemplo, daños por agua, materiales peligrosos, virus informáticos no dirigidos).
Esta identificación de las fuentes de riesgo le permitirá identificar las amenazas potenciales (es decir, ¿qué circunstancias podrían permitir que ocurra un incidente de seguridad?) en los recursos de soporte (por ejemplo, hardware, software, canales de comunicación, papel, etc.), que pueden ser:

  • utilizados de manera inadecuada (por ejemplo, abuso de derechos, error de manejo);
  • modificados (por ejemplo, trampa de software o hardware — keylogger, instalación de malware);
  • perdidos (por ejemplo, robo de un ordenador portátil, pérdida de una llave USB);
  • observados (por ejemplo, observación de una pantalla en un tren, geolocalización de dispositivos);
  • deteriorados (por ejemplo, vandalismo, deterioro natural);
  • sobrecargados (por ejemplo, unidad de almacenamiento completo, ataque de denegación de servicio).
  • no disponible (por ejemplo, en caso de ransomware).

También es aconsejable:

  • determinar las medidas existentes o previstas para abordar cada riesgo (por ejemplo, control de acceso, copias de seguridad, trazabilidad, seguridad de las instalaciones, cifrado);
  • estimar la gravedad y probabilidad de los riesgos, sobre la base de los elementos anteriores (ejemplo de una escala que puede utilizarse para la estimación: insignificante, moderado, significativo, máximo);
  • aplicar y verificar las medidas previstas si las medidas existentes y previstas se consideran adecuadas, garantizar su aplicación y seguimiento;
  • llevar a cabo auditorías periódicas de seguridad: cada auditoría debe dar lugar a un plan de acción cuya ejecución debe ser supervisada al más alto nivel de la organización.

El RGPD introduce la noción de una «evaluación de impacto sobre la protección de datos», que es obligatoria para cualquier tratamiento de datos personales que pueda resultar en un alto riesgo para las personas. Una EIPD debe contener las medidas previstas para hacer frente a los riesgos identificados, incluidas las salvaguardias, las medidas de seguridad y los mecanismos para garantizar la protección de los datos personales.
 

En la práctica

  • Para tener una visión más clara de los riesgos de seguridad, puede, por ejemplo, crear una hoja de cálculo de gestión de riesgos y mantenerla actualizada regularmente. Esta hoja de cálculo puede incluir riesgos materiales y humanos relacionados con servidores, computadoras o locales. Anticiparse suficientemente a los riesgos puede ayudar a mitigar las consecuencias en caso de un incidente.

Medidas organizativas

Sensibilización de los usuarios

Es esencial concienciar a los empleados o usuarios que manejan datos personales (tratadores de datos) de los riesgos relacionados con la privacidad, informarles de las medidas adoptadas para abordar los riesgos y las posibles consecuencias en caso de fallo.

En la práctica

La sensibilización de los usuarios puede adoptar la forma de:

  • sesiones de sensibilización;
  • actualizaciones periódicas de los procedimientos relativos a las funciones de los empleados y los que tratan datos;
  • comunicación interna, a través de recordatorios por correo electrónico, etc.

Otra precaución es documentar los procedimientos operativos, mantenerlos actualizados y ponerlos a disposición de todos los gestores de datos afectados. En concreto, cualquier actividad de tratamiento de datos personales, ya se trate de operaciones administrativas o de una simple solicitud, debe utilizar un lenguaje claro y adaptado a cada categoría de gestor, en documentos a los que pueda remitirse.

Establecer una política interna

El conocimiento de los gestores internos de datos puede adoptar la forma de un documento, que debe ser vinculante e integrado en los reglamentos internos. La política interna debe incluir, en particular, una descripción de las normas de protección de datos y seguridad.

Otras medidas organizativas

  • Implementar una política de clasificación de información que defina varios niveles y requiera la marcación de documentos y correos electrónicos que contengan datos confidenciales.
  • Incluir una declaración visible y explícita en cada página de un documento en papel o electrónico que contenga datos confidenciales.
  • Llevar a cabo sesiones de capacitación y sensibilización sobre seguridad de la información.Se pueden enviar recordatorios periódicos a través de correo electrónico u otras herramientas de comunicación interna.
  • Prever la firma de un acuerdo de confidencialidad o incluir una cláusula de confidencialidad específica con respecto a los datos personales en los contratos con empleados y otros responsables del tratamiento de datos.

Medidas técnicas

Equipos seguros

La confianza en la fiabilidad de sus sistemas de información es una cuestión clave, y la implementación de medidas de seguridad adecuadas, que el RGPD ha hecho obligatorias, es una de las formas de proporcionarla.

En particular, es aconsejable asegurar:

  • hardware (por ejemplo, servidores, puestos de trabajo, ordenadores portátiles, discos duros);
  • software (por ejemplo, sistema operativo, software empresarial);
  • canales de comunicación (por ejemplo, fibra óptica, Wi-Fi, Internet);
  • documentos en papel (por ejemplo, documentos impresos, copias);
  • locales.

Equipos de trabajo seguros

Se podrían tener en cuenta las siguientes acciones al asegurar equipo de trabajo:

  • proporcionar un mecanismo automático de bloqueo de sesión cuando el equipo de trabajo no se utiliza durante un período de tiempo determinado;
  • instalar software de cortafuegos y limitar la apertura de los puertos de comunicación a los estrictamente necesarios para el correcto funcionamiento de las aplicaciones instaladas en la estación de trabajo;
  • utilizar programas antivirus actualizados periódicamente y tener una política de actualización periódica del software;
  • configurar el software para actualizar automáticamente la seguridad siempre que sea posible;
  • fomentar el almacenamiento de datos de los usuarios en un espacio de almacenamiento respaldado regularmente accesible a través de la red de la organización en lugar de en estaciones de trabajo. Si los datos se almacenan localmente, proporcionar a los usuarios capacidades de sincronización o copia de seguridad y capacitarlos en su uso;
  • limitar la conexión de medios móviles (memorias USB, discos duros externos, etc.) a los elementos esenciales;
  • desactive autorun desde medios extraíbles.

Qué no hacer

  • utilizar sistemas operativos obsoletos;
  • otorgar derechos de administrador a los usuarios que no tienen conocimientos de seguridad informática.

Para ir más allá

  • prohibir el uso de aplicaciones descargadas que no provengan de fuentes seguras;
  • limitar el uso de aplicaciones que requieren derechos a nivel de administrador para ejecutarse;
  • borrar de forma segura los datos de un equipo de trabajo antes de reasignarlos a otra persona;
  • en caso de que un equipo de trabajo se vea comprometido, buscar la fuente y cualquier rastro de intrusión en el sistema de información de la organización, con el fin de detectar si otros elementos se vieron comprometidos;
  • llevar a cabo un seguimiento de la seguridad del software y el hardware utilizados en el sistema de información de la organización;
  • actualizar las aplicaciones cuando se hayan identificado y corregido vulnerabilidades críticas;
  • instalar actualizaciones críticas del sistema operativo sin demora programando una comprobación automática semanal;
  • difundir a todos los usuarios el modo de proceder y la lista de personas de contacto en caso de un incidente de seguridad o evento inusual que afecte a los sistemas de información y comunicación de la organización.

En la práctica

  • Tu oficina tiene un concepto de espacio abierto y tiene muchos empleados, pero también muchos visitantes. Gracias a un bloqueo automático de sesión, nadie fuera de la empresa puede acceder al ordenador de un empleado en el descanso o ver en qué está trabajando. Además, un firewall y un antivirus actualizado protegen la navegación por Internet de tus empleados y limitan los riesgos de intrusión en sus servidores. Cuantas más medidas se implementen, más difícil será para las personas con intención maliciosa o un empleado negligente causar daños.

Proteger las instalaciones de la empresa

El acceso a las instalaciones debe controlarse para evitar o ralentizar el acceso directo y no autorizado a los archivos en papel o a los equipos informáticos, en particular a los servidores.

Qué hacer

  • instalar alarmas de intrusión y comprobarlas periódicamente;
  • instalar detectores de humo y equipos de extinción de incendios e inspeccionarlos anualmente;
  • proteger las claves utilizadas para acceder a los locales y los códigos de alarma;
  • distinguir las zonas del edificio en función del riesgo (por ejemplo, proporcionar un control de acceso específico para la sala de ordenadores);
  • mantener una lista de individuos o categorías de personas autorizadas para entrar en cada área;
  • establecer normas y medios para controlar el acceso de los visitantes, como mínimo, haciendo que los visitantes sean acompañados fuera de las zonas públicas por una persona de la organización;
  • proteger físicamente el equipo informático con medios específicos (sistema de extinción de incendios dedicado, elevación contra posibles inundaciones, suministro de energía redundante o aire acondicionado, etc.).

Qué no hacer

Subdimensionar o descuidar el mantenimiento del entorno de la sala de servidores (aire acondicionado, SAI, etc.). Una avería en estas instalaciones a menudo conlleva el apagado de las máquinas o la apertura del acceso a las habitaciones (circulación del aire), lo que de hecho neutraliza las medidas de seguridad.

Para ir más allá

Puede ser conveniente llevar un registro del acceso a las salas u oficinas que posean material que contenga datos personales que pueda tener un impacto negativo grave en las personas afectadas. Informar a los responsables de la aplicación de dicho sistema, tras informar y consultar a los representantes del personal.

Además, asegúrese de que solo se permita personal debidamente autorizado en áreas restringidas. Por ejemplo:

 

  • dentro de las zonas restringidas, exigir a todas las personas que lleven un medio visible de identificación (marca);
  • los visitantes (personal de apoyo técnico, etc.) deben tener un acceso limitado. Deberán registrarse la fecha y hora de su llegada y salida;
  • revisa y actualiza regularmente los permisos de acceso para proteger las áreas y eliminarlos según sea necesario.

En la práctica

  • Tu empresa está especializada en comercio electrónico. Conservas los datos personales de los clientes alojados en servidores en instalaciones separadas. Con el fin de asegurar el acceso a estos datos, la entrada a estas instalaciones está protegida por un lector de tarjetas. Sin embargo, un incendio estalla debido a un cortocircuito. Gracias a un detector de humo, el departamento de bomberos fue rápidamente alertado y capaz de limitar la pérdida de datos.

Autenticar a los usuarios

Para garantizar que los usuarios solo accedan a los datos que necesitan, se les debe proporcionar un identificador único y deben autenticarse antes de utilizar los equipos informáticos.
Los mecanismos para lograr la autenticación de la persona se clasifican según si implican:

  • lo que sabemos, por ejemplo, una contraseña;
  • lo que tenemos, por ejemplo, una tarjeta inteligente;
  • una característica específica de la persona, por ejemplo, la forma en que se traza una firma manuscrita.

La elección del mecanismo depende del contexto y de los diferentes factores. La autenticación de un usuario se considera fuerte cuando utiliza una combinación de al menos dos de estas categorías.

En la práctica

  • Para acceder a una sala segura que contenga información confidencial, puedes instalar un lector de tarjetas («lo que tenemos») junto con un código de acceso («lo que sabemos»).

Gestionar las autorizaciones

Deben aplicarse niveles diferenciados de perfiles de autorización en función de las necesidades. Los usuarios solo deben tener acceso a los datos en función de las necesidades de conocimiento.

Buenas prácticas de autenticación y gestión de autorizaciones:

  • definir un identificador único para cada usuario y prohíbir las cuentas compartidas por varios usuarios. En caso de que el uso de identificadores genéricos o compartidos sea inevitable, requerir una validación interna e implementar medios para rastrearlos (logs);
  • imponer el uso de reglas de complejidad de contraseñas suficientemente sólidas (por ejemplo, al menos 8 caracteres, mayúsculas y caracteres especiales);
  • almacenar contraseñas de forma segura;
  • eliminar permisos de acceso obsoletos;
  • llevar a cabo una revisión periódica (por ejemplo, cada seis meses);

 

Qué no hacer

  • crear o utilizar cuentas compartidas por varias personas;
  • otorgar derechos de administrador a los usuarios que no los necesiten;
  • otorgar a un usuario más privilegios de lo necesario;
  • olvidarse de eliminar las autorizaciones temporales concedidas a un usuario (por ejemplo, para un reemplazo);
  • olvidarse de eliminar las cuentas de usuario de las personas que han dejado la organización o han cambiado de trabajo.

Para ir más allá

Establecer, documentar y revisar periódicamente cualquier política de control de acceso, en lo que se refiere a los tratamientos implementados por la organización, que deben incluir:

  • los procedimientos que deben aplicarse sistemáticamente a la llegada, salida o cambio de asignación de una persona con acceso a datos personales;
  • las consecuencias para las personas con acceso legítimo a los datos en caso de incumplimiento de las medidas de seguridad;
  • medidas para restringir y controlar la asignación y el uso del acceso al tratamiento.

En la práctica

  • Cuando un nuevo empleado se une a la empresa, debes crear una nueva cuenta de usuario dedicada con una contraseña segura. Los empleados no deben compartir sus credenciales entre sí, especialmente si no tienen la misma acreditación. En caso de que cambien de puesto, debes revisar sus permisos de acceso a ciertos archivos o sistemas.

Seudonimizar los datos

La seudonimización es el tratamiento de datos personales de tal manera que ya no es posible atribuir los datos personales a una persona física específica sin el uso de información adicional. Esta información adicional debe mantenerse por separado y estar sujeta a medidas técnicas y organizativas.

En la práctica, la seudonimización consiste en sustituir los datos de identificación directa (nombre, nombre, número personal, número de teléfono, etc.) en un conjunto de datos con datos de identificación indirecta (alias, número secuencial, etc.). Permite procesar los datos de las personas sin poder identificarlos de manera directa. Sin embargo, es posible rastrear la identidad de estos individuos gracias a los datos adicionales. Como tal, los datos seudonimizados siguen siendo datos personales y están sujetos al RGPD. La seudonimización también es reversible, a diferencia de la anonimización.

La seudonimización es una de las medidas recomendadas por el RGPD para limitar los riesgos asociados al tratamiento de datos personales.

Cifrar datos

El cifrado es un proceso que consiste en convertir la información en un código con el fin de evitar el acceso no autorizado. Esa información solo se puede leer de nuevo utilizando la clave correcta. El cifrado se utiliza para garantizar la confidencialidad de los datos. Los datos cifrados siguen siendo datos personales. Como tal, el cifrado puede considerarse como una de las técnicas de seudonimización.

Además, las funciones hash, se pueden utilizar para garantizar la integridad de los datos. Las firmas digitales, no solo garantizan la integridad, sino que también permiten verificar el origen de la información y su autenticidad.

 

Anonimizar los datos

 

Los datos personales pueden hacerse anónimos de tal manera que el individuo no sea o deje de ser identificable. La anonimización es un proceso que consiste en utilizar un conjunto de técnicas para anonimizar los datos personales de tal manera que sea imposible identificar a la persona por cualquier medio que sea razonablemente probable que se utilice.

La anonimización, implementada correctamente, puede permitirte utilizar los datos de forma que respete los derechos y libertades de las personas. De hecho, la anonimización abre la posibilidad para la reutilización de datos que inicialmente no está permitido debido a la naturaleza personal de los datos, y por lo tanto puede permitir a las organizaciones utilizar los datos para fines adicionales sin interferir en la privacidad de las personas. La anonimización también permite mantener los datos más allá del período de retención.

Cuando la anonimización se implementa correctamente, el RGPD ya no se aplica a los datos anonimizados. Sin embargo, es importante tener en cuenta que la anonimización de los datos personales en la práctica no siempre es posible o fácil de lograr. Debe evaluarse si la anonimización puede aplicarse a los datos en cuestión y mantenerse con éxito, teniendo en cuenta las circunstancias específicas del tratamiento de los datos personales. A menudo se necesitarían conocimientos jurídicos o técnicos adicionales para implementar con éxito la anonimización de conformidad con el RGPD.

¿Cómo verificar la efectividad de la anonimización?

Las autoridades europeas de protección de datos definen tres criterios para garantizar que un conjunto de datos sea verdaderamente anónimo:

  1. Destacando: no debería ser posible aislar información sobre un individuo en el conjunto de datos.
  2. Vinculación: no debería ser posible vincular distintos datos con respecto a la misma persona.
  3. Inferencia: no debería ser posible deducir, con casi total certeza, información sobre un individuo.

En la práctica

  • Destacando: en una base de datos de currículum vitae en la que solo los nombres y apellidos de una persona han sido sustituidos por un número (que corresponde únicamente a esa persona), todavía es posible identificar a una persona en particular en función de otras características. En este caso, los datos personales se consideran como seudonimizados y no como anonimizados.
  • Vinculación: una base de datos de mapas que contenga las direcciones de las personas no puede considerarse anónima si otras bases de datos, existentes en otros lugares, contienen estas mismas direcciones con otros datos que permiten la identificación de individuos.
  • Inferencia: si un conjunto de datos supuestamente anónimo contiene información sobre la obligación fiscal de los participantes en una encuesta, y todos los encuestados varones entre 20 y 25 años no están sujetos a impuestos, entonces se podría inferir que un encuestado específico está sujeto a impuestos o no, cuando se conozca su edad y sexo.

Situaciones específicas

Medidas de seguridad para el teletrabajo

En el contexto del teletrabajo, es necesario garantizar la seguridad de los datos tratados respetando la privacidad de las personas.

Qué hacer:

  • Establecer una política de seguridad de teletrabajo o al menos un conjunto de reglas mínimas que deben respetarse, y comunicar este documento a los empleados de acuerdo con su normativa interna;
  • Si tienes que cambiar las normas de funcionamiento de tu sistema de información para permitir el teletrabajo (por ejemplo, cambiar las normas de autorización, acceso de administradores remotos, etc.), considera los riesgos involucrados y, si es necesario, toma medidas para mantener el nivel de seguridad;
  • Equipa todos los equipos de trabajo de tus empleados con al menos un firewall, software antivirus y una herramienta para bloquear el acceso a sitios maliciosos. Si los empleados pueden utilizar su propio equipo, proporciona orientación para asegurarlo (véase «Medidas de seguridad para BYOD»);
  • Configura una VPN para evitar la exposición directa de tus servicios a Internet siempre que sea posible. Habilita la autenticación VPN de dos factores si es posible;
  • Proporciona a tus empleados una lista de herramientas de comunicación y colaboración adecuadas para el trabajo remoto, que garanticen la confidencialidad de los intercambios y los datos compartidos. Elige herramientas que controles y asegúrate de que proporcionen al menos la autenticación y el cifrado de las comunicaciones de última generación y de que los datos en tránsito no se reutilicen para otros fines (mejora de productos, publicidad, etc.). Algunos programas de software para particulares pueden transmitir datos de los usuarios a terceros y, por lo tanto, son particularmente inadecuados para el uso corporativo.

Medidas de seguridad para BYOD (Traiga su propio dispositivo)

Con el desarrollo de BYOD, especialmente en las PYMES, el límite entre la vida profesional y la vida personal está desapareciendo. Incluso si BYOD no representa, en sí mismo, un tratamiento de datos personales, sigue siendo necesario garantizar la seguridad de los datos.

El acrónimo «BYOD» significa «Trae tu propio dispositivo» y se refiere al uso de equipos informáticos personales en un contexto profesional. Un ejemplo de esto sería un empleado que utiliza equipos personales como una computadora, tableta o teléfono inteligente para conectarse a la red de la empresa.

La posibilidad de utilizar herramientas personales es principalmente una cuestión de elección del empleador y de la legislación nacional. El RGPD exige que el nivel de seguridad de los datos personales tratados sea el mismo, independientemente del equipo utilizado. Los empleadores son responsables de la seguridad de los datos personales de su empresa, incluso cuando se almacenan en terminales sobre los que no tienen control físico o legal, pero cuyo uso han autorizado para acceder a los recursos informáticos de la empresa.

Los riesgos contra los que es esencial proteger su organización van desde un ataque puntual a la disponibilidad, integridad y confidencialidad de los datos hasta un compromiso general del sistema de información de la empresa (intrusión, virus, etc.).

Ejemplo de lista de verificación

Un ejemplo de cómo podría verse una lista de verificación para mejorar el nivel de seguridad establecido en su organización:

  • Informar y educar regularmente a los gestores de datos sobre los riesgos relacionados con la privacidad
  • Establecer una política interna y darle carácter vinculante
  • Implementar la protección de datos desde el diseño y por defecto
  • Asegurarse de que los datos tratados son adecuados, pertinentes y limitados a lo necesario (minimización de datos)
  • Aplicar una política de clasificación de la información para los datos confidenciales
  • Incluir una indicación específica en los documentos que contengan datos sensibles
  • Llevar a cabo sesiones de capacitación y sensibilización sobre seguridad de la información, junto con recordatorios periódicos.
  • Firmar un acuerdo de confidencialidad con los empleados o incluir cláusulas de confidencialidad específicas
  • Proporcionar bloqueo automático de sesiones, firewall actualizado y antivirus, almacenamiento de respaldo para los usuarios
  • Limitar la conexión física (memorias USB, discos duros externos, etc.) a los elementos esenciales
  • Proteger las instalaciones de la empresa (por ejemplo, alarmas de intrusión, detectores de humo, claves protegidas, sala diferenciada según el riesgo, autorizaciones para acceder a áreas específicas, sistema de lucha contra incendios dedicado)
  • Dar un identificador único a los usuarios
  • Requerir autenticación para acceder a las instalaciones informáticas
  • Gestionar autorizaciones (por ejemplo, perfiles separados según las necesidades, identificador único, contraseñas seguras)
  • Publicar una política de seguridad en el teletrabajo
  • Eliminar permisos de acceso obsoletos
  • Llevar a cabo una revisión periódica de las autorizaciones
  • Seudonimizar o anonimizar datos para limitar la reidentificación de individuos
  • Cifrar datos para evitar el acceso no autorizado
  • Instalar una VPN para teletrabajo
  • Asegurarse de proteger los dispositivos personales utilizados para el trabajo (BYOD)