GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

ARTÍCULO 5, APARTADO 1, LETRA F), DEL RGPD

Principio de integridad y confidencialidad

El principio de integridad y confidencialidad significa que las empresas deben garantizar que su tratamiento de datos personales sea seguro y confidencial. Además, la empresa debe evaluar los riesgos que el tratamiento conlleva para los interesados. Para cumplir con el principio de integridad y confidencialidad, la empresa tomará diversas medidas de seguridad técnicas y organizativas.

RGPD - El Principio de Integridad y Confidencialidad

La cantidad de protección que la empresa debe tomar varía dependiendo de la naturaleza de los datos personales. Cuanto más sensibles sean los datos personales, mayor será la seguridad que la empresa debe implementar. El artículo 5, apartado 1, letra f), del RGPD regula el principio de integridad y confidencialidad. Es uno de los siete principios de protección de datos del RGPD.

Tenga en cuenta que la empresa también debe cumplir con los otros principios básicos de protección de datos, como el Principio de Protección de Datos de Minimización de Datos.

La empresa debe tomar medidas para contrarrestar las violaciones de datos personales y cumplir con el principio de integridad y confidencialidad.

Una violación de datos personales es una forma de incidente de seguridad. El significado de una violación de datos personales bajo el RGPD es cuando los datos personales son alterados accidental o ilegalmente, perdidos o accedidos por una persona no autorizada. De acuerdo con el principio de integridad y confidencialidad, la empresa debe proteger los datos personales.

Una violación de datos personales común es un correo electrónico enviado al destinatario incorrecto debido a un error humano. Por ejemplo, esto puede ocurrir cuando el remitente escribe mal la dirección de correo electrónico del destinatario.

En algunos casos, se puede exigir a una empresa que informe de violaciones de datos personales a la autoridad nacional de protección de datos. Cuando se requiera dicha notificación, la empresa efectuará la notificación en un plazo de setenta y dos horas a partir de la detección de la infracción. Además, la empresa también puede tener que notificar a los interesados afectados de la violación de datos personales. El hecho de no informar de las violaciones de datos personales de manera oportuna puede resultar en multas debido a la violación del RGPD.

What breaches of the GDPR can lead to an administrative fine?

Ocho sujetos de datos de derechos tienen:

  • Derecho a ser informado
  • Derecho de acceso
  • Derecho a la rectificación
  • Derecho a la supresión
  • Derecho a la limitación del tratamiento
  • Derecho a la portabilidad de los datos
  • Derecho de oposición
  • Derecho a los derechos relacionados con la toma de decisiones automatizada y la elaboración de perfiles

Adoptar medidas de seguridad técnicas y organizativas para cumplir con el principio de integridad y confidencialidad

Las empresas evitarán las violaciones de la seguridad de los datos personales adoptando las salvaguardias adecuadas. Este es un punto clave central del principio de integridad y confidencialidad bajo el RGPD. Las medidas de salvaguardia pueden dividirse en dos categorías: medidas organizativas y técnicas de seguridad. A continuación puede leer algunos ejemplos de tales medidas.

Ejemplos de medidas técnicas de seguridad

Measures that companies need to take to comply with GDPR

Usar software antivirus

Los virus pueden conducir a la pérdida de datos personales. También pueden permitir que los piratas informáticos que plantaron el virus accedan a datos personales. Por lo tanto, las empresas deben tener un software antivirus instalado en los dispositivos que utilizan para procesar datos personales.

Sensitive personal data according to GDPR

Tener archivos de copia de seguridad

Por ejemplo, si un disco duro se destruye y contiene datos personales, se trata de una violación de datos personales si la empresa no tiene archivos de copia de seguridad. Además, puede llevar mucho tiempo recuperar los datos perdidos. Por lo tanto, es bueno tener archivos de copia de seguridad, por ejemplo, a través de un servicio en la nube.

Subjektivt integritetskänsliga personuppgifter

Habilitar la autenticación multifactor (MFA) al iniciar sesión

Es bueno tener autenticación multifactor (MFA) en diferentes inicios de sesión. Esto puede evitar que cualquier persona no autorizada acceda a la información en el sistema, incluso si tiene acceso a la contraseña.

What is the definition of anonymised data?

Usa contraseñas complejas y únicas

Un error común que algunas personas cometen es tener contraseñas demasiado simples. Otro error común es reutilizar la misma contraseña para varios sistemas o cuentas de usuario diferentes. Si usted tiene la misma contraseña y alguien accede a la contraseña, el problema se vuelve más grande que si se tratara de contraseñas diferentes. Además, hay hackers que usan robots que prueban miles de contraseñas diferentes para ver si algo encaja. Por lo tanto, uno debe usar contraseñas difíciles, así como algún sistema de código para leer la contraseña. Este y más conocimiento útil en ciberseguridad es algo sobre lo que la empresa debe informar y educar a sus empleados.

Cifrado de datos personales

Si una empresa procesa datos personales sensibles y debe enviar la información por correo electrónico, por ejemplo, debe hacerse con cifrado. Los datos personales sensibles incluyen aquellos que revelan el origen étnico, las opiniones políticas, las creencias religiosas o filosóficas o los datos relativos a la salud. Las empresas como empleadores a menudo procesan datos sobre la salud de los empleados, como la licencia por enfermedad. Este tipo de información aparece, entre otras cosas, en la nómina. Por lo tanto, una empresa no debe enviarlos a los empleados por correo electrónico.

Las empresas tuvieron que pagar una multa porque, entre otras cosas, no habían llevado a cabo una evaluación de impacto de la protección de datos (DPIA)

Tres empresas fueron multadas por la autoridad de control en Finlandia por sus infracciones del RGPD. Una de las empresas había localizado los vehículos de sus empleados utilizando un sistema de datos de conducción. En consecuencia, planteaba un alto riesgo para los derechos y libertades de los interesados, lo que exigía una evaluación de impacto relativa a la protección de datos. La empresa debe realizar esta evaluación antes de procesar los datos personales. La consecuencia para la empresa fue una multa de 16 000 euros. 



Ejemplos de medidas de seguridad organizativas

Sensitive personal data according to GDPR

Elaborar y celebrar un acuerdo escrito de tratamiento de datos

Las empresas que sean responsables del tratamiento de datos y contraten a otra empresa que sea un encargado del tratamiento de datos celebrarán un acuerdo de tratamiento de datos entre sí. El artículo 28 del RGPD regula este requisito. Además, el acuerdo debe ser por escrito para que sea válido bajo el RGPD. Cuando una empresa procesa datos personales en nombre de otra empresa, es un procesador de datos. Un ejemplo es si una empresa contrata a una empresa de contabilidad para administrar la contabilidad de la empresa. Un encargado del tratamiento también puede contratar a otro encargado del tratamiento (denominado «subencargado del tratamiento»), pero esto solo puede hacerse con el consentimiento del responsable del tratamiento.

Measures that companies need to take to comply with GDPR

Establecimiento de procedimientos internos

Las empresas deben contar con procedimientos internos para garantizar que el personal trate los datos personales de conformidad con el RGPD en la práctica. Los procedimientos internos que la empresa debe tener varían. Por ejemplo, dependiendo, entre otras cosas, del tamaño de la empresa, la industria en la que opera la empresa y la naturaleza de los datos personales que procesa la empresa.

  • Ejemplos de lo que los procedimientos internos pueden referirse son los siguientes:
  • Notificación y tratamiento de incidencias de datos personales.
  • Supresión o anonimización de datos personales.
  • Gestión del ejercicio de los derechos de los interesados. Por ejemplo, el derecho de acceso de los interesados (artículo 15 del RGPD), el derecho de rectificación (artículo 16 del RGPD) y el derecho al olvido (artículo 17 del RGPD).

Designar al responsable de la protección de datos

Algunas empresas están obligadas a designar un delegado de protección de datos en virtud de los requisitos legales del RGPD. El Delegado de Protección de Datos tiene un papel importante en la empresa, pero no necesariamente tiene que ser un empleado. También puede ser un tercero externo que es un delegado de protección de datos para una empresa. Tanto los interesados como los empleados deben poder ponerse en contacto con el delegado de protección de datos en caso de cualquier pregunta. Lo mismo se aplica a la autoridad nacional de protección de datos. Por lo tanto, es común incluir los datos de contacto del delegado de protección de datos en el aviso de privacidad de la empresa. Las empresas que no están obligadas a designar un delegado de protección de datos en virtud del RGPD pueden optar por hacerlo de todos modos como medida voluntaria.

Subjektivt integritetskänsliga personuppgifter

Nombrar embajadores de protección de datos

Si la empresa tiene muchos empleados o varias oficinas diferentes, puede ser una buena idea nombrar embajadores de protección de datos. Los empleados con este rol actúan como mediadores de información sobre RGPD para las diversas unidades y empleados de la compañía. El propósito es principalmente garantizar que la información importante sobre RGPD que la administración decide llegue a los empleados. Por ejemplo, comunicar nuevas rutinas de RGPD a los empleados o información sobre incidentes de datos personales detectados a la administración, etc.

What is the definition of anonymised data?

Permisos de usuario

Es importante que la empresa se asegure de que los usuarios de los diversos sistemas que procesan datos personales tengan los permisos adecuados. Por ejemplo, solo unas pocas personas deberían tener cuentas de usuario con derechos de administrador. Además, la empresa solo debe conceder a un usuario acceso a los datos cuando sea necesario para la realización del trabajo. Esta es una forma de reducir el riesgo de violaciones de datos personales. Cuando un empleado deja de trabajar para la empresa, también es importante contar con procedimientos para garantizar que ya no tenga acceso a los sistemas de la empresa.

Procesamiento que es particularmente arriesgado bajo el RGPD

Hay ciertos tipos de procesamiento que son particularmente riesgosos bajo el RGPD. Por ejemplo, cuando una empresa procesa: 

  • Licencia por enfermedad para los empleados.
  • Compensación a los empleados.
  • Información sobre la afiliación sindical de los empleados.
  • Información que se recopila con el propósito de rastrear el desempeño de los empleados.
  • Comprobación de la identidad de los empleados mediante reconocimiento facial u otros datos biométricos.

Punto de partida para las garantías en el tratamiento de datos personales y el cumplimiento del principio de integridad y confidencialidad

Base jurídica y principios de protección de datos

Las empresas deben tener una base jurídica para cada tratamiento individual de datos personales. Hay un total de seis bases jurídicas. Entre otras cosas, contratos con interesados [artículo 5, apartado 1, letra b), del RGPD], obligación legal [artículo 5, apartado 1, letra c), del RGPD] o consentimiento [artículo 5, apartado 1, letra a), del RGPD]. Además, las empresas deben cumplir con los siete principios básicos de protección de datos. El artículo 5 del RGPD regula los principios. Permean todo el RGPD y es importante conocerlos como controlador de datos o procesador de datos.

Analizar el objeto de protección

Cuando una empresa procesa datos personales, implica riesgos para el interesado. En primer lugar, la empresa debe analizar el objeto de protección. Esto significa que la empresa debe evaluar qué datos personales necesita procesar y qué tan sensibles son. La empresa debe hacer esto antes de comenzar el procesamiento.

Análisis de riesgos y medidas

Una vez que la empresa ha analizado el objeto protegido, debe analizar los riesgos involucrados en el procesamiento. Además, las empresas deben analizar qué medidas deben tomar para minimizar los riesgos. En algunos casos, las empresas también deben llevar a cabo evaluaciones de impacto para determinados tipos de operaciones de tratamiento. Cuantos más datos personales sensibles procesen las empresas, más garantías tendrán que tomar. Si los interesados son especialmente vulnerables debido, por ejemplo, a la edad o al estado de salud, los requisitos son más elevados.

Documenta todo

Según el RGPD, las empresas deben poder demostrar que cumplen con el RGPD en la práctica. Este requisito se deriva del principio de rendición de cuentas (artículo 5, apartado 2, del RGPD), que es uno de los siete principios de protección de datos. Por lo tanto, es importante que la empresa documente todas las acciones, análisis, evaluaciones, rutinas, obtención del consentimiento, etc. Es la empresa la que debe poder demostrar que cumple con RGPD. No son los interesados los que deben demostrar que la empresa infringe el RGPD.

OTROS PRINCIPIOS DE PROTECCIÓN DE DATOS

El principio de responsabilidad bajo RGPD

Las empresas deben poder demostrar que cumplen con el RGPD en la práctica. Esto significa que no son los interesados o la autoridad de control quienes deben demostrar que la empresa infringe el RGPD. Por ejemplo, las empresas deben redactar los acuerdos y documentos que son necesarios en virtud del RGPD, documentar su procesamiento y cumplir con los derechos de los interesados, etc. Si una empresa viola el RGPD, puede tener importantes consecuencias financieras. En el peor de los casos, las empresas pueden tener que pagar una multa de una cantidad multimillonaria. El artículo 5, apartado 2, del RGPD regula el principio de rendición de cuentas.

¿Quieres saber más?

Leer más
Scroll al inicio