GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

MEDIDAS ORGANIZATIVAS

Cultura de seguridad en la protección de datos y la ciberseguridad

Las empresas deben tener una sólida cultura de seguridad en la protección de datos y la ciberseguridad para proteger los datos personales que procesan. Los datos personales son datos que pueden vincularse a una persona física viva. Por ejemplo, un nombre, número de seguro social, número de pasaporte o similar. Además, el RGPD distingue entre datos personales «ordinarios» y datos personales sensibles a la privacidad. 

Las violaciones de datos personales deben evitarse mediante medidas de seguridad técnicas y organizativas.

Las empresas deben evitar las violaciones de datos personales. Esto se hace mediante la implementación de medidas de seguridad técnicas y organizativas apropiadas. Además, las empresas deben minimizar las consecuencias de las violaciones de datos personales, mantener un registro de las mismas y, en algunos casos, informar a los interesados afectados. También se informará a la autoridad nacional de protección de datos en caso de que se produzcan determinados tipos de violaciones de la seguridad de los datos personales. 

Una empresa polaca tuvo que pagar una multa por la notificación tardía de una violación de la seguridad de los datos personales a la autoridad nacional de protección de datos. De acuerdo con el RGPD, la notificación será realizada por el controlador dentro de las 72 horas posteriores al descubrimiento. 

What breaches of the GDPR can lead to an administrative fine?

Mayores requisitos para los datos personales más importantes

Cuanto más importantes sean los datos personales, mayores serán los requisitos para las empresas. El tratamiento de categorías especiales de datos personales de conformidad con el artículo 9 del RGPD, que constituye una de las cuatro categorías de datos personales sensibles a la privacidad, va seguido de demandas muy elevadas. 

Cultura de seguridad dentro de una empresa

El significado de cultura de seguridad o cultura de protección de datos es valores comunes, conocimiento, actitud y comportamiento de quienes trabajan dentro de la empresa, para crear seguridad en torno al procesamiento de datos personales. Las empresas deben proteger los datos personales tomando las medidas de seguridad técnicas y organizativas adecuadas. Al tener una buena cultura de seguridad, la capacidad de proteger los datos personales aumentará. La cultura de la seguridad debe abarcar tanto la ciberseguridad como la protección de los datos personales.

Ejemplos de lo que las empresas pueden hacer para crear una cultura de seguridad fuerte y buena

Sensitive personal data according to GDPR
Función de la dirección

La administración tiene un papel importante dentro de la empresa para garantizar que el negocio cumpla con RGPD. Por lo tanto, es bueno tener el compromiso de trabajar con los problemas de RGPD dentro de la administración. Por ejemplo, discutiendo continuamente la protección de datos durante las reuniones del consejo y analizando áreas de mejora.

What is the definition of anonymised data?
Educación

Las empresas deben capacitar a su personal para que puedan cumplir con RGPD en su trabajo práctico. En particular, el personal que trabaja en el ámbito de la protección de datos. Si la empresa tiene un delegado de protección de datos, también debe ofrecerle formación adicional en RGPD. Al tener instrucciones y procedimientos escritos, el personal puede leer fácilmente lo que necesita hacer para cumplir con las regulaciones, ya que existe el riesgo de que olviden o cometan errores si solo lo escuchan oralmente.

Subjektivt integritetskänsliga personuppgifter
Involucrar más

No solo aquellos que trabajan con problemas de protección de datos pueden beneficiarse del conocimiento en el campo. Es positivo que todos en la empresa tengan acceso a información sobre la cultura de seguridad, para que sientan una responsabilidad y puedan contribuir. Por ejemplo, es bueno educar a todos los empleados sobre los riesgos cibernéticos comunes, que pueden conducir a violaciones de datos personales. Por ejemplo, sobre ataques de phishing y cómo se puede detectar.

Gestión de la elegibilidad

Es importante que el personal que necesita acceder a los datos personales tenga acceso a ellos, pero no otros empleados. Por lo tanto, la empresa necesita controlar los permisos y controlar los derechos de acceso a los sistemas que procesan datos personales. Por ejemplo, el personal del departamento de finanzas necesita acceder, entre otras cosas, al sistema contable para poder emitir facturas a los clientes. Sin embargo, no todos los empleados de la empresa necesitan necesariamente tales derechos de acceso.

Measures that companies need to take to comply with GDPR

Proceso de presentación de informes

Las empresas notificarán determinados tipos de violaciones de la seguridad de los datos personales a los interesados y a la autoridad nacional de protección de datos. Sin embargo, el personal que descubra que se ha producido una violación de datos personales debe informar a la persona adecuada internamente. Por lo tanto, es importante crear un proceso claro sobre cómo debe hacerse. Por ejemplo, puede ser más fácil desarrollar una lista de verificación que los empleados deben usar si sospechan una violación de datos personales. Además, es importante que la comunicación interna sea rápida y fluida, ya que hay plazos que la empresa debe cumplir cuando se trata de violaciones de datos personales notificables. Las consecuencias pueden ser mucho peores cuanto más tiempo pasa y mayor es el retraso.

Las empresas más grandes pueden tener embajadores de protección de datos para facilitar el trabajo de protección de datos

Cuanto mayor sea la empresa, mayores serán los desafíos de la comunicación interna en asuntos relacionados con la protección de datos. Es importante que la empresa comunique sus rutinas internas, políticas, etc. dentro del negocio de una manera fluida, para garantizar que la información correcta llegue a los empleados. Además, es importante que los empleados puedan comunicar información importante a la dirección de la empresa de manera fluida. 

Una cosa que puede facilitar este flujo de comunicación es nombrar embajadores de protección de datos dentro de los diversos departamentos de la empresa. Estos embajadores deben recibir capacitación adicional en RGPD y protección de datos en general, y actuar como un centro de comunicación entre la gerencia y los empleados. De esta manera, la comunicación dentro del área puede fluir más fácilmente dentro del negocio. 

MÁS INFORMACIÓN SOBRE LAS MEDIDAS ORGANIZATIVAS

Procedimientos internos e instrucciones para los empleados

Al crear procedimientos internos escritos e instrucciones para los empleados, la compañía reduce el riesgo de que los empleados violen el RGPD al realizar sus tareas. Por ejemplo, las empresas pueden establecer instrucciones sobre cómo deben proceder los empleados cuando un interesado solicita que se cumpla uno de sus derechos. Existen plazos importantes que deben cumplirse en virtud del RGPD y el contenido de la información proporcionada al interesado debe cumplir requisitos mínimos específicos. La documentación escrita también facilita a la empresa demostrar que cumple el principio de rendición de cuentas establecido en el artículo 5, apartado 2, del RGPD. 

¿Quieres saber más?

Leer más
Scroll al inicio