UE - RGPD
Cifrado de datos personales
El cifrado de datos personales es una medida de seguridad técnica común y buena para proteger los datos personales. Una empresa no solo puede utilizar el cifrado en relación con el almacenamiento de datos personales, ya que también puede ser útil utilizar el cifrado al transferir datos personales.
Qué significa encriptación
En resumen, el cifrado significa que convierte los datos legibles en una forma de texto distorsionado. Tal texto distorsionado solo puede decodificarse a través de una clave secreta que hace que el texto sea legible nuevamente. Por ejemplo, la clave secreta puede consistir en una combinación de números creada en el dispositivo desde el que se envía el cifrado, así como en el dispositivo al que se envía el mensaje cifrado.
El cifrado de datos personales es una buena medida técnica a tomar
Cuando una función matemática junto con una clave de cifrado convierte los datos para que sean legibles, constituye un cifrado. En otras palabras, los datos cifrados no son legibles si solo tiene la clave o función de cifrado.
Es bueno si la empresa utiliza el cifrado como una medida de seguridad técnica cuando la empresa envía datos personales a través de redes abiertas, como Internet. Un ejemplo de esto es el envío de correos electrónicos cifrados.
Especificaciones salariales con datos personales sensibles
Es habitual que las nóminas contengan información sobre la baja por enfermedad del empleado. Es una indicación de salud y, por lo tanto, un dato personal sensible según RGPD. Si la nómina contiene información sobre la baja por enfermedad, no está permitido enviarla por correo electrónico a los empleados, a menos que el mensaje esté encriptado. Antes de que el RGPD entrara en vigor en 2018, era común que los empleadores enviaran por correo electrónico dichas nóminas sin cifrar, pero ya no está permitido porque no es lo suficientemente seguro.
Las empresas deben proteger los datos personales del acceso no autorizado
Una empresa debe proteger los datos personales del acceso no autorizado porque constituye una violación de datos personales. El hecho de que una empresa pueda procesar datos personales no significa que sea necesario que todos en la empresa tengan acceso a ellos. En tales casos, puede ser útil utilizar claves de cifrado, de modo que solo los empleados que tendrán y tendrán la necesidad de acceder a los datos personales, los reciban.
Consejos para cifrar datos personales
Análisis de necesidades
Al realizar un análisis de necesidades, la empresa puede averiguar, por ejemplo, qué datos personales y en qué situaciones es apropiado el cifrado. También es útil analizar qué forma de servicios de cifrado son apropiados en el caso. Por ejemplo, un servicio en la nube.
Documentación
La empresa debe documentar todo el análisis, ya que es una forma de demostrar que la empresa cumple con el RGPD de acuerdo con el principio de responsabilidad. Esto es especialmente importante si los datos personales son particularmente dignos de protección, como los datos personales sensibles a la privacidad.
Instrucciones
Es importante que aquellos que reciben una clave de cifrado también sepan cómo usarla, qué se les permite hacer con los datos personales, etc. Por lo tanto, es bueno redactar instrucciones escritas para los empleados sobre el cifrado y los datos cifrados.
Seguridad
Asegúrese de que el servicio de cifrado sea lo suficientemente seguro haciendo una investigación adecuada. Es bueno usar un servicio de cifrado que sea ampliamente reconocido. Además, es importante proteger las claves de cifrado para que ninguna persona no autorizada pueda acceder a ellas.
Encriptación de extremo a extremo
El cifrado de extremo a extremo significa que los datos personales se transfieren cifrados al destinatario desde el remitente. Esto es especialmente importante cuando los datos personales se clasifican como sensibles de conformidad con el artículo 9 del RGPD. Sin embargo, puede ser bueno hacerlo incluso si se relaciona con datos personales sensibles a la privacidad.
MÁS INFORMACIÓN SOBRE RGPD
Segmentación de la red
Una forma de proteger los datos personales del acceso no autorizado es a través de la segmentación de la red. En otras palabras, dividir las redes informáticas en varias subredes, de modo que solo lo necesario esté presente en ese segmento. En pocas palabras, esto significa que, por ejemplo, los sistemas o servidores que no necesitan comunicarse entre sí, no lo hacen.