MEDIDAS DE SEGURIDAD ORGANIZACIONALES
Rutina de escritorio limpio como medida de seguridad organizacional
Para reducir el riesgo de exponer innecesariamente los datos personales, es una buena idea introducir una rutina de escritorio limpio como medida de seguridad de la organización.
¿Qué es una rutina de escritorio limpio?
Una rutina de escritorio limpio es una medida de seguridad organizacional que muchas empresas deben tomar. Es simple pero puede ser de gran importancia. En resumen, se trata de garantizar que el material que contiene datos personales u otra información sensible no esté disponible para que nadie lo vea. Puede ser información física, pero también información digital.
Qué partes de RGPD una rutina de escritorio limpio puede ayudar a las empresas a seguir
- Proteger los datos personales contra el acceso no autorizado de conformidad con el principio de integridad y confidencialidad.
- Reduce el riesgo de fugas accidentales de datos.
- Ayuda a la empresa a demostrar el cumplimiento del RGPD de acuerdo con el principio de rendición de cuentas.
¿Cuándo son particularmente importantes las rutinas de escritorio limpio?
- Ambientes de coworking.
- Oficinas que reciben muchos visitantes.
- Departamentos de finanzas.
- Departamentos de RRHH.
- Si una empresa procesa datos personales sensibles.
- Trabajo remoto en un entorno público.
- Si el lugar de trabajo está cerca de una ventana por la que pasan las personas.
Definición de violación de datos personales
Si se produce un evento que da lugar a la pérdida, alteración, destrucción, acceso no autorizado o divulgación ilegales o accidentales de datos personales, constituye una violación de datos personales. Una violación de datos personales es un incidente de seguridad. No importa si fue intencional o no. Las violaciones de datos personales pueden tener graves consecuencias para los interesados, por lo que es importante evitarlas. Además, determinadas violaciones de la seguridad de los datos personales se notificarán a los interesados afectados, así como a la autoridad nacional de protección de datos.
Muchas violaciones de datos personales ocurren por simples errores
Es bueno saber que muchas violaciones de datos personales ocurren por simples errores, no por ciberataques. Una violación de datos personales muy común son los correos electrónicos que contienen datos personales y se envían al destinatario equivocado.
Rutina física de escritorio limpio
Si los empleados de una oficina tienen documentos en sus mesas de trabajo que contienen datos personales, por ejemplo, sobre los clientes, y cualquier visitante pasa y ve o puede ver los datos personales, es una violación de datos personales. Por lo tanto, los trabajadores deben evitar tener documentos con datos personales abiertos en la mesa de trabajo.
Rutina digital de escritorio limpio
Otro ejemplo es si los trabajadores tienen documentos en sus computadoras de trabajo cuando, por ejemplo, salen de su escritorio para recoger café, lo que aumenta el riesgo de exposición y una violación de datos personales. Por lo tanto, los trabajadores deben tener bloqueos de pantalla en sus computadoras, y puede ser útil tener un protector de pantalla para que los transeúntes no puedan ver el contenido de la pantalla desde un lado. Además, los trabajadores deben cerrar sus documentos abiertos si abandonan su lugar de trabajo por cualquier motivo.
¿Qué reglas puede contener una rutina de escritorio limpio?
Limpie su escritorio todos los días
No deje documentos físicos o notas con información personal u otra información sensible en su escritorio al final de la jornada laboral. Lo mismo se aplica a apagar todos los documentos digitales en su computadora y apagarla.
Cerradura de compartimentos de almacenamiento
Asegúrese de que los espacios de almacenamiento, tanto físicos como digitales, estén bloqueados cuando no estén en uso.
Usar máquinas que destruyan documentos
Algunos documentos pueden ser buenos para destruir y es bueno hacerlo con trituradoras. En otras palabras, una máquina que destruye documentos, en lugar de tirar el documento directamente a la basura.
Proteja con contraseña el equipo
Asegúrese de proteger siempre con contraseña su computadora, para que ninguna persona no autorizada pueda iniciar sesión en ella.
Almacenar dispositivos portátiles de forma segura
Tenga en cuenta que todos los dispositivos portátiles deben almacenarse de forma segura. Por ejemplo, ordenadores portátiles, teléfonos móviles y tabletas utilizados en el trabajo.
Borrar notas temporales
Las notas temporales, como las notas post-it con datos personales que los empleados utilizan en su trabajo y, por lo tanto, tienen en su escritorio, deben borrarse cuando ya no sean necesarias.
Evite los datos personales en las pizarras blancas
Si la empresa utiliza pizarras blancas y toma nota de los datos personales allí, es importante que las personas no autorizadas no los vean. Por ejemplo, es común usar pizarras blancas en salas de conferencias que pueden ser reservadas por diferentes personas. Por lo tanto, los datos personales no deben enumerarse allí ni eliminarse inmediatamente después de la reunión.
No mantener listas de nombres en público
Un error común es tener listas de nombres en público para los visitantes, sin una base legal para el procesamiento. Puede ser físico o digital donde los visitantes pueden ver todos los nombres de la lista.
No olvide las impresiones que quedan en la impresora
Es bueno revisar constantemente las impresiones en una impresora, ya que sucede que olvida documentos allí.
Cosas importantes a considerar para una rutina de escritorio limpio para trabajar en la práctica
Desarrollar una política escrita
El primer paso es desarrollar una política escrita. Allí, la empresa puede describir, entre otras cosas, cómo debe ser el escritorio de trabajo, qué información no deben dejar los empleados en el escritorio y en qué deben pensar para un escritorio limpio.
Información y formación
Es importante informar a los empleados y proporcionarles la capacitación pertinente, para que puedan llevar a cabo de manera efectiva lo que se indica en la política.
Asegúrese de que el escritorio limpio esté incluido en la incorporación
La información y la formación sobre los procedimientos internos de la empresa en relación con el cumplimiento del RGPD deben proporcionarse en el contexto del proceso de incorporación. Es decir, en relación con la introducción de nuevos empleados.
Adaptar el lugar de trabajo para hacerlo posible en la práctica
Para que los empleados tengan un escritorio limpio, es importante darles la oportunidad de hacerlo. Por ejemplo, la compañía debe comprar gabinetes de documentos seguros y con cerradura, trituradoras si es necesario, protectores de pantalla y similares.
Controles periódicos
Para asegurarse de que los empleados siguen lo que se indica en la rutina de escritorio limpio, es bueno hacer controles puntuales regularmente.
Clasificar una violación de la rutina como un incidente interno
Puede ser bueno para los empleados reportar violaciones internas de la rutina, a pesar de que puede no haber habido ninguna violación de datos personales. El objetivo debe ser permitir a la empresa mejorar su trabajo en este sentido.
APRENDE MÁS
Auditoría periódica
Otra buena medida de seguridad organizacional que las empresas deben tomar es llevar a cabo auditorías periódicas de diferentes áreas. A menudo sucede internamente, pero en algunos casos puede ser apropiado contratar a una parte externa. Por ejemplo, en el caso de procesos de alto riesgo donde una perspectiva objetiva es importante. Las auditorías internas periódicas sobre el cumplimiento del RGPD facilitan la identificación de deficiencias y oportunidades de mejora antes de que conduzca a consecuencias graves.