GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

MEDIDAS DE SEGURIDAD ORGANIZACIONALES

Clasificación de la información

Una medida de seguridad organizacional que puede ser apropiada tomar es la clasificación de la información. 

La clasificación de la información es una medida de seguridad organizativa

La clasificación de la información consiste en dividir la información en diferentes clases de seguridad. Esto facilita la toma de decisiones precisas sobre qué medidas de seguridad debe tomar la empresa para proteger los diversos datos personales.

El punto de partida es que cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad. 

What breaches of the GDPR can lead to an administrative fine?

Los requisitos para las medidas de seguridad adecuadas están regulados en el artículo 32 del RGPD.

El principio de privacidad y confidencialidad obliga a las empresas a adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales tratados. El principio de rendición de cuentas significa que las empresas deben poder demostrar que cumplen con el RGPD. Por lo tanto, una clasificación escrita de la información puede ser apropiada. 

¿Por qué es bueno llevar a cabo la clasificación de la información?

Hay varias ventajas en la clasificación de la información. La empresa puede facilitar la identificación de los datos personales más dignos de protección. No toda la información es igualmente sensible, y tratar todo de la misma manera puede conducir, por ejemplo, a una seguridad excesiva que puede ser innecesariamente costosa. También hace que sea más fácil dirigir los recursos a donde más se necesitan y determinar los niveles de acceso. 

La clasificación de la información puede, entre otras cosas, contribuir a cumplir los siguientes requisitos del RGPD:

  • Integridad y confidencialidad de conformidad con el artículo 5, apartado 1, letra f), del RGPD.
  • Seguridad del tratamiento de conformidad con el artículo 32 del RGPD
  • Protección de datos desde el diseño de conformidad con el artículo 25 del RGPD
  • Responsabilidad de conformidad con el artículo 5, apartado 2, del RGPD. 

Divida la información en diferentes clases

1. Información general/pública

Hay datos personales que se pueden compartir públicamente y suele ser la información menos sensible. Por ejemplo, fotos de perfil de corredores publicadas en el sitio web de la agencia. Es una profesión en la que dicha publicación es común en relación con la comunicación externa, como el sitio web y las redes sociales de la agencia de corretaje. Lo mismo se aplica a los datos personales contenidos en los informes que la empresa publica públicamente o sirve a las autoridades que se convierten en documentos públicos.

What is the definition of anonymised data?

2. Información interna

Hay información que contiene datos personales que no deben difundirse fuera de la empresa. Por ejemplo, materiales de capacitación o notas de reuniones.

Subjektivt integritetskänsliga personuppgifter

3. Información protegida

Hay cierta información a la que solo un número limitado de personas en el negocio debería tener acceso. Por ejemplo, registros de clientes e información de nómina. Tenga en cuenta que a menudo es innecesario que todos los empleados de una empresa tengan acceso a todos los datos personales procesados para desempeñar sus funciones. Si un trabajador no necesita acceder a determinados datos personales, tampoco debe recibirlos. Es por eso que es importante gestionar los derechos de acceso entre los empleados dentro de la empresa.

Sensitive personal data according to GDPR

4. Datos personales sensibles a la privacidad

Los datos personales sensibles a la privacidad se pueden dividir en cuatro grupos. Se trata de 1) datos personales relativos a condenas e infracciones penales, 2) datos personales sensibles, 3) números de identidad personal y 4) datos personales subjetivamente sensibles a la privacidad. Sin embargo, solo los dos primeros están específicamente regulados por el RGPD. Es importante tener cuidado de garantizar que las personas que realmente no necesitan tener acceso a dichos datos personales no los tengan. Además, la empresa debe aplicar una alta seguridad al almacenar datos personales sensibles a la privacidad.

Measures that companies need to take to comply with GDPR

5. Datos personales sensibles a la privacidad

Los datos personales subjetivamente sensibles a la privacidad constituyen uno de los cuatro grupos de datos personales sensibles a la privacidad. Sin embargo, no existe una definición exacta. En resumen, son los datos personales los que el interesado puede sentir que son sensibles a la privacidad para que otra persona los procese, aunque no sean sensibles en virtud de los artículos 9 a 10 del RGPD. Por ejemplo, números de tarjetas de crédito, calificaciones y evaluaciones subjetivas de los resultados. Sin embargo, las empresas generalmente procesan datos personales subjetivamente sensibles a la privacidad, como base para documentar el desempeño de los empleados. Esto puede implicar notas de la evaluación de los empleados y la revisión del desempeño.

Subjektivt integritetskänsliga personuppgifter

6. Datos personales sensibles

Los datos personales sensibles también constituyen uno de los cuatro grupos de datos personales sensibles a la privacidad. El artículo 9 del RGPD contiene normas específicas sobre el tratamiento de datos personales sensibles. La norma principal prohíbe el tratamiento de datos personales sensibles, como creencias religiosas, opiniones políticas y datos sanitarios. Sin embargo, hay excepciones. Por ejemplo, las empresas suelen procesar información sobre la baja por enfermedad de los empleados y está permitida. Sin embargo, no está permitido enviar un recibo de pago con información sobre la baja por enfermedad a través de correo electrónico no cifrado, ya que no es lo suficientemente seguro.

¿Cómo pueden las empresas trabajar con la clasificación de la información en la práctica?

Identificación

Comience por identificar los tipos de datos personales que procesa la empresa.

Evaluación

Evaluar la importancia de los datos personales. Algunos factores para comenzar son los riesgos de privacidad, los riesgos comerciales, qué requisitos legales existen y qué consecuencias puede conllevar para los interesados en caso de acceso no autorizado.

Nivel de clasificación

Dividir los diferentes datos personales en diferentes clases de protección en función de la evaluación.

Documentación

Tenga en cuenta documentar la clasificación de la información para demostrar que la empresa cumple con RGPD, de acuerdo con el principio de responsabilidad.

Salvaguardias

Cuanto más importantes sean los datos personales, mejores garantías debe tomar la empresa. Analizar qué datos personales necesitan qué salvaguardas.

Seguimiento

RGPD es un trabajo continuo y es bueno seguir siempre el trabajo y tratar de mejorarlo con el tiempo.

APRENDE MÁS SOBRE RGPD

Acuerdos internos de confidencialidad

Es común que las empresas quieran evitar que cierta información llegue a personas ajenas a la empresa o a otras personas no autorizadas dentro de la empresa. Por lo tanto, los empleadores generalmente celebran un acuerdo de confidencialidad o incluyen una cláusula de confidencialidad en el contrato de trabajo con los empleados. Son los empleados los que trabajan con RGPD en la práctica y, a menudo, procesan datos personales como parte de sus tareas. Los acuerdos internos de confidencialidad pueden ser particularmente apropiados si los empleados procesan datos personales sensibles.

¿Quieres saber más?

Leer más
Scroll al inicio