RGPD - UE
Medidas técnicas que la empresa puede tomar para proteger los datos personales
Según RGPD, las empresas deben proteger los datos personales que se procesan dentro del negocio. Esto puede hacerse, entre otras cosas, mediante la aplicación de medidas técnicas de seguridad adecuadas. A continuación puede leer más sobre algunos ejemplos de medidas técnicas que la empresa puede tomar para proteger los datos personales.
Requisitos para proteger los datos personales
Es un requisito bajo el RGPD que la empresa debe proteger los datos personales que la empresa procesa. Cuantos más datos personales sean importantes, mayor será el nivel de protección que debe aplicarse. La Compañía también debe tomar las medidas técnicas apropiadas para cumplir con otras reglas de protección de datos y otras leyes relevantes.
Por ejemplo, debe ser posible que un interesado retire un consentimiento dado de una manera tan simple como se dio. Si el interesado ha dado su consentimiento haciendo clic en un botón, será posible retirar el consentimiento de una manera igualmente sencilla. Esto significa que en este caso la empresa necesita implementar tal posibilidad técnica.
Esta es hoy una funcionalidad que a menudo se encuentra en los plugins de cookies. Allí el visitante del sitio web puede optar por aceptar cookies. Posteriormente, retire su consentimiento negando el uso de cookies a través de las opciones de botón disponibles en la configuración de consentimiento.
Estos son algunos ejemplos de medidas técnicas que la empresa puede tomar para proteger los datos personales de acuerdo con RGPD
Tenga en cuenta que hay muchas más medidas técnicas que las que se describen a continuación que las empresas pueden o deben implementar, dependiendo de las operaciones de la empresa.
Autenticación
Puede ser necesario que una empresa demuestre la identidad de una persona que solicita acceso a sistemas que procesan datos personales.
Por ejemplo, la autenticación puede ser necesaria antes de que un empleado tenga acceso a ciertos datos confidenciales, que son necesarios para el desempeño de sus funciones. Sin embargo, no todos los empleados tienen acceso automático a esta información. En tales casos, a través de determinadas tecnologías, la empresa puede necesitar primero confirmar la identidad del empleado mediante autenticación, antes de conceder el acceso.
Otro ejemplo es si una persona quiere iniciar sesión en su banco en línea para enviar dinero a alguien. Dado que el inicio de sesión se realiza de forma remota a través de Internet, el banco debe implementar un método de autenticación para confirmar la identidad de la persona que intenta iniciar sesión en la cuenta bancaria.
Proceso de autenticación común
Un proceso de autenticación común es que una persona crea una cuenta de usuario y una contraseña que se utilizan para iniciar sesión en un sistema. Sin embargo, esto no siempre es suficiente. Por ejemplo, puede ser necesario tener un proceso de autenticación más seguro. Como la persona que necesita iniciar sesión a través de contraseña y huella digital u otra forma de autenticación multifactor, como un código SMS enviado al número de teléfono móvil.
Copia de seguridad
Al hacer copias de seguridad de los datos, las empresas pueden restaurar los datos personales que han sido eliminados o alterados ilegalmente. Además, puede ayudar a las empresas a recuperarse más fácilmente de, por ejemplo, los ciberataques. La copia de seguridad se puede hacer a intervalos preestablecidos, como diariamente o cada hora.
Tenga en cuenta que es importante eliminar los archivos de copia de seguridad después de un cierto período de tiempo, para no almacenar más datos personales de los necesarios. Por ejemplo, si un interesado solicita que se eliminen sus datos personales, también debe recordarse eliminarlos de cualquier copia de seguridad.
Las copias de seguridad deben mantenerse seguras, separadas del procesamiento diario, y el acceso a la administración de copias de seguridad solo debe otorgarse a unos pocos empleados.
Segmentación de la red
Puede ser útil dividir las redes de datos en diferentes subredes, también llamadas segmentación de red. El propósito de segmentar las redes es limitar la comunicación entre sistemas. Como computadoras, servidores o similares, de modo que solo la información que es necesaria fluye en ese segmento. Esto facilita, entre otras cosas, evitar el acceso no autorizado a los datos personales.
Una ventaja de la segmentación de la red es que es posible asignar un acceso de usuario a una sola parte segmentada, en lugar de acceder a toda la red. Además, la segmentación de la red puede aumentar el rendimiento de los servicios en el segmento al reducir el riesgo de congestión de la red.
Cifrado
El cifrado de datos personales es una medida técnica común que las empresas deben tomar. Esto significa que una clave de cifrado, como un código o huella digital junto con una función matemática, hace que los datos sean legibles. Si alguien tiene acceso a solo uno de ellos, por lo tanto, no es posible leer la información. Es especialmente importante implementar el cifrado cuando los datos personales son particularmente dignos de protección.
No envíe por correo electrónico nóminas con datos personales confidenciales
Antes de que RGPD entrara en vigencia, era común que las empresas enviaran nóminas a los empleados por correo electrónico. Sin embargo, las nóminas a menudo contienen información sobre la baja por enfermedad, que es una indicación de salud y, por lo tanto, constituye datos personales sensibles en virtud del RGPD. Los datos personales sensibles deben procesarse con mayor seguridad, por lo que no es apropiado enviar por correo electrónico dichas nóminas sin cifrar.
MÁS INFORMACIÓN SOBRE RGPD
Medidas de seguridad organizativas
Las empresas también deben tomar las medidas de seguridad organizativas adecuadas. Por ejemplo, ofrecer formación a los empleados en materia de protección de datos, aplicar la gestión de autorizaciones y establecer diversos procedimientos e instrucciones por escrito para los empleados.