INFORMACIÓN SOBRE RGPD
Las empresas necesitan trabajar con su seguridad de la información
Las empresas deben trabajar con su seguridad de la información para garantizar una protección adecuada de los datos personales procesados. Deben adoptarse medidas de seguridad técnicas y organizativas para evitar, en particular, que se filtren o alteren o destruyan datos personales no autorizados.
RGPD - Las empresas necesitan trabajar con su seguridad de la información
Una gran parte de la seguridad de la información se trata de que los empleados de una empresa tengan acceso a la información correcta y en el momento adecuado, para que la empresa pueda cumplir con sus obligaciones bajo RGPD. Por ejemplo, si la empresa necesita notificar la violación de datos personales a la autoridad nacional de protección de datos, debe hacerlo dentro de las 72 horas posteriores al descubrimiento. Si un interesado solicita acceso a sus datos personales de conformidad con el RGPD, es importante que los empleados sepan cómo gestionar la solicitud en la práctica.
Violaciones de datos personales y cómo manejarlas
Si una persona no autorizada obtiene acceso a los datos personales que la empresa procesa, constituye una violación de datos personales. Por ejemplo, si una persona hackea un sistema informático y obtiene acceso a datos personales. Además, se trata de un acceso no autorizado si un empleado dentro de la empresa que no debería tener acceso a datos personales, los obtiene de todos modos. Las violaciones de datos personales pueden tener graves consecuencias para los interesados, como fraude, robo de identidad o rumores perjudiciales.
Otros dos actos de la UE
- Ley de IA de la UE
- Ley de Datos de la UE
También es una violación de datos personales si los datos personales se eliminan o cambian ilegalmente. Por ejemplo, si una computadora que procesa datos personales se ve afectada por un virus y, por lo tanto, se pierden todos los datos personales. Por lo tanto, es bueno implementar medidas técnicas de seguridad, como almacenar archivos de copia de seguridad en un servicio en la nube e instalar sistemas antivirus.
Evaluación de riesgos de una violación de datos personales
Cuando se produce una violación de datos personales, la empresa debe llevar a cabo una evaluación de riesgos. La finalidad es que la empresa evalúe el riesgo que la violación de datos personales puede entrañar para los interesados afectados. Una empresa puede decidir si necesita informarles de la violación de datos personales que se ha producido o no. La sensibilidad de los datos personales es un factor importante para evaluar la gravedad de la violación. Cuantos más datos personales importantes, más graves son.
Documentación de violaciones de datos personales individuales
Todas las empresas deben documentar por escrito cualquier violación de datos personales que haya ocurrido. Esto se aplica independientemente de si la empresa debe informar a la autoridad de control o a los interesados de la violación. Tenga en cuenta que la autoridad nacional de protección de datos puede solicitar acceso a la documentación de la violación de datos personales en caso de supervisión. La documentación incluirá, entre otras cosas, información sobre lo ocurrido y las medidas que la empresa haya adoptado posteriormente.
Tratamiento transfronterizo de datos personales
En algunos casos, una violación de datos personales puede estar relacionada con varios países dentro de la UE. En tales casos, se produce una violación transfronteriza de la seguridad de los datos personales. Es importante que las empresas que tratan datos personales en varios países de la Unión sepan cuál es la autoridad de control principal de la empresa. Si se produce una violación transfronteriza de los datos personales que sea notificable, la empresa lo notificará a la autoridad de control principal.
Medidas preventivas
Las empresas evitarán las violaciones de la seguridad de los datos personales adoptando las medidas preventivas adecuadas. Además, las empresas deben saber cómo actuar en caso de violación de datos personales. Por ejemplo, la empresa puede crear rutinas internas para que los empleados sepan qué hacer. Es importante actuar lo más rápido posible cuando se sospecha o detecta una violación de datos personales, ya que las consecuencias pueden empeorar a medida que pasa el tiempo.
Consejo: Las empresas pueden descargar una guía del Consejo Europeo de Protección de Datos sobre cómo pueden gestionar las violaciones de datos personales.
Informar a los interesados de una violación de la seguridad de los datos personales
En caso de violación de datos personales, la empresa debe, en determinados casos, informar a los interesados afectados. Esto se hará si es probable que la violación de datos personales dé lugar a un alto riesgo para los derechos y libertades de los interesados. Además, en algunos casos, la empresa puede tener que notificar la violación de datos personales a la autoridad nacional de protección de datos. Se enviará una notificación a la autoridad nacional de protección de datos en un plazo de setenta y dos horas a partir del descubrimiento. El responsable del tratamiento es responsable de llevar a cabo la notificación.
Una empresa polaca tuvo que pagar una multa por, entre otras cosas, no cumplir con su obligación de notificar la violación de datos personales a la autoridad de control de manera oportuna.
Medidas de seguridad organizativas para proteger los datos personales tratados
Las empresas deberán, entre otras cosas, tomar las medidas organizativas adecuadas para proteger los datos personales que procesan. Esto se refleja en uno de los principios fundamentales de protección de datos del artículo 5, apartado 1, letra f), del RGPD, a saber, el principio de integridad y confidencialidad. En otras palabras, las empresas deben tomar las medidas de seguridad adecuadas al procesar datos personales.
Gestión de autorizaciones como medida de seguridad
Para garantizar que no más personas de las necesarias tengan acceso a los datos personales, es bueno implementar una buena gestión de la autorización. En otras palabras, decidir quién puede acceder a qué datos personales. En la ley y RGPD, los conceptos de autorización y mandato son términos importantes para entender.
Autorización
Se trata de qué acceso tiene una persona a los datos personales.
Mandato
Se trata de lo que una persona puede hacer con los datos personales, así como de cuándo y cómo puede llevarse a cabo el procesamiento.
Instrucciones y procedimientos internos para los empleados
Para minimizar el riesgo de que los empleados violen las normas del RGPD y facilitar su trabajo, es bueno elaborar instrucciones por escrito. Por ejemplo, procedimientos escritos sobre cómo deben proceder los empleados cuando se produce una violación de datos personales. Las instrucciones escritas y los procedimientos internos también son una buena manera de demostrar que la empresa cumple el RGPD y el principio de rendición de cuentas.
Formación de los empleados en materia de protección de datos
Es bueno ofrecer formación al personal que trabaja en cuestiones de protección de datos. Especialmente si la empresa tiene un oficial de protección de datos. Por ejemplo, la compañía debe ofrecer capacitación adicional a su oficial de protección de datos dentro del RGPD cuando surjan nuevas prácticas. Además, es bueno ofrecer algún tipo de capacitación básica dentro de RGPD a otros empleados que procesan datos personales, como gerentes, trabajadores de servicio al cliente y representantes de ventas.
Construir una cultura de seguridad buena y fuerte
Es bueno construir una fuerte cultura de seguridad dentro de la empresa que impregna todo el negocio, incluido el procesamiento de datos personales. En otras palabras, se trata de crear valores comunes, ofrecer conocimiento y crear una actitud motivacional con respecto al trabajo de protección de datos. Por ejemplo, es bueno crear rutinas e instrucciones sobre cómo deben actuar los empleados e informar sobre presuntas violaciones de datos personales.
Medidas técnicas de seguridad para proteger los datos personales
Además de las medidas de seguridad organizativas que la empresa debe tomar, también se deben tomar medidas técnicas de seguridad para proteger los datos personales. Las medidas que deben tomar las empresas dependen, entre otras cosas, del tipo de tratamiento que sea y de la importancia de los datos personales. A continuación puede leer algunos ejemplos de medidas técnicas de seguridad comunes.
Autenticación antes de iniciar sesión
Puede ser necesario que las personas confirmen su identidad antes de acceder a los datos personales, también conocida como autenticación. Por ejemplo, cuando inician sesión en un sistema que trata datos personales, como el sistema financiero de la empresa o el sistema de CRM. Dependiendo de la situación, la empresa puede necesitar tomar un proceso de autenticación más seguro. Por ejemplo, al requerir una verificación adicional de la identidad al iniciar sesión, como huellas dactilares o un código.
Si una persona inicia sesión en un banco para transferir dinero, no es lo suficientemente seguro simplemente iniciar sesión con un nombre de usuario y contraseña. Sin embargo, puede ser suficiente que la persona inicie sesión en las redes sociales de la empresa.
Cifrado de la información
El cifrado es una medida de seguridad técnica común para las empresas con el objetivo de proteger los datos personales. Especialmente cuando se trata de datos personales extraprotectores. Como los datos personales sensibles regulados en el artículo 9 del RGPD. En resumen, el cifrado significa que los datos solo son legibles al proporcionar una clave de cifrado secreta correcta. Esto reduce el riesgo de acceso no autorizado a la información.
En algunos casos, el cifrado de datos personales puede ser necesario tanto al transmitirlos como al almacenarlos. Por ejemplo, si un empleador desea enviar un recibo de pago por correo electrónico a un empleado que contiene información sobre la baja por enfermedad, que son datos personales confidenciales. En tales casos, la nómina debe enviarse por correo electrónico cifrado.
Respaldo de datos
Muchas personas no saben que los datos personales que se cambian o eliminan ilegalmente constituyen un tipo de violación de datos personales. Por ejemplo, si una computadora que almacena datos personales recibe un virus y los datos personales se pierden. Por lo tanto, es bueno tener una copia de seguridad de los datos personales, por ejemplo, en un servicio en la nube. Tenga en cuenta que es importante proteger las copias de seguridad, al igual que el original.
Segmentación de la red
Al dividir una red de datos en varias subredes (segmentación de la red), la empresa puede evitar el acceso no autorizado y la divulgación de datos personales. En otras palabras, la segmentación de la red impide la comunicación entre, por ejemplo, dos sistemas que no necesitan comunicarse entre sí.
Por lo tanto, si una persona no autorizada ingresa a una subred, no tendrá acceso a toda la información que habría estado allí si la compañía no hubiera dividido la red de datos en varias subredes.
MÁS INFORMACIÓN SOBRE RGPD
Transferencia de datos personales a un tercer país
Si una empresa transfiere datos personales a un país fuera de la UE/EEE, se trata de una transferencia a un tercer país. Puede ser permitido, pero las reglas son más estrictas. Un ejemplo de transferencia a un tercer país es si una empresa en Alemania envía un documento a una empresa en los Estados Unidos que contiene datos personales. Es importante conocer las reglas para los traslados de terceros países para no violar el RGPD.