GDPR Learning Hub

Menú
  • Take quizzes
  • Download guides
  • Buy courses
  • Buy Templates
  • GDPR-Courses are under construction

MEDIDAS DE SEGURIDAD ORGANIZATIVAS

Plan de Continuidad de Negocio como medida de seguridad organizacional

Puede ser útil establecer un Plan de Continuidad de Negocio como medida de seguridad organizativa, para garantizar que la empresa pueda funcionar incluso en caso de crisis, interna o externamente. 

Beneficios de un Plan de Continuidad de Negocio como medida de seguridad organizacional

  • Reduce el riesgo de interrupciones comerciales a largo plazo, lo que puede ser una gran ventaja económica en caso de una ventaja. 
  • Crea seguridad tanto para los empleados de la empresa como para los interesados. 
  • Ayuda a la empresa a cumplir con los requisitos legales.
  • Puede reducir cualquier consecuencia que surja en caso de un ciberataque, interrupción grave o cualquier otro tipo de crisis. 

¿Qué es un Plan de Continuidad de Negocio (BCP)?

Un Plan de Continuidad de Negocio es un plan de cómo una empresa debe actuar en caso de una crisis inesperada. El objetivo es que la crisis no lleve a que la empresa no pueda seguir trabajando en sus operaciones. Lo mismo se aplica a las grandes crisis. Establecer un Plan de Continuidad de Negocio es una buena medida de seguridad organizacional que las empresas pueden tomar para cumplir con las reglas del RGPD y reducir las consecuencias en caso de crisis. 

What breaches of the GDPR can lead to an administrative fine?

Cuestiones que deben incluirse en un plan de continuidad de las actividades

  • ¿Qué deben hacer los empleados si los sistemas de TI ya no están disponibles? 
  • ¿Pueden los empleados seguir trabajando aunque no sea posible utilizar la oficina? 
  • ¿Quién es responsable de qué en caso de crisis?
  • ¿Cuáles son los procesos más importantes para que la empresa continúe su trabajo? 
  • ¿Cómo se informa a los empleados y otras partes externas apropiadas sobre la crisis?
  • ¿Cómo deben los empleados continuar procesando los datos personales correctamente durante una crisis en curso?

Cómo un Plan de Continuidad de Negocio puede ayudar a las empresas a cumplir con el RGPD

El Plan de Continuidad de Negocio como medida de seguridad organizacional puede ayudar a las empresas a cumplir con varias obligaciones clave bajo el RGPD. Además de demostrar que la empresa cumple con el marco regulatorio bajo el principio de rendición de cuentas en el artículo 5, apartado 2, del RGPD. Entre otras cosas, el RGPD requiere que los datos personales estén disponibles y sean recuperables en caso de una violación de datos personales. El artículo 32 del RGPD se refiere a la seguridad del tratamiento, así como a la capacidad de garantizar la integridad, la confidencialidad, la disponibilidad y la resiliencia permanentes. Un Plan de Continuidad de Negocio ayuda a garantizar que la empresa tenga copias de seguridad que puedan restaurarse dentro de un período de tiempo razonable. 

Además, el plan de continuidad de las actividades debe identificar procesos y vulnerabilidades críticos, así como medidas preventivas para reducir los riesgos de supresión accidental, acceso no autorizado o pérdida de datos. Por lo tanto, puede complementar los análisis de riesgos y las evaluaciones de impacto sobre la protección de datos (DPIA) (artículo 35 del RGPD). Además, un buen plan de continuidad de las actividades garantiza que los derechos de los interesados en virtud de los artículos 12 a 22 del RGPD puedan cumplirse incluso durante una crisis.

Pasos que las empresas deben implementar y documentar en un Plan de Continuidad de Negocio

Identificación de procesos críticos

Para establecer un Plan de Continuidad de Negocio efectivo, es importante identificar primero varios procesos críticos y procesamiento de datos personales que son necesarios para la empresa. Por ejemplo, sistemas informáticos críticos, sistemas financieros, procesos de recursos humanos, qué herramientas utiliza la empresa para la comunicación, métodos de pago, etc. Entre otras cosas, la empresa necesita trazar los sistemas necesarios, los procesos que deben funcionar para continuar las operaciones, los recursos que la empresa necesita para la ejecución del trabajo, los datos personales que son críticos para procesar, etc. También es bueno trazar aproximadamente cuánto tiempo las operaciones de la empresa pueden estar total o parcialmente fuera de operación, antes de que haya consecuencias graves.

What is the definition of anonymised data?

Riesgos

Una vez que la empresa ha identificado los procesos necesarios y similares, la empresa debe analizar los riesgos y cómo el Plan de Continuidad del Negocio debe prevenirlos o minimizarlos.

Incidentes técnicos

Por ejemplo, un bloqueo del sistema, una interrupción de la red o archivos de copia de seguridad que han dejado de funcionar.

Incidentes organizativos

Por ejemplo, cuando personas importantes en la empresa dejan de trabajar para la empresa, los proveedores no entregan de acuerdo con el contrato, una escasez de personal inusualmente grande debido a la propagación de enfermedades o similares.

Ciberataques

Por ejemplo, si los hackers se entrometen en la base de datos de la empresa, requieren ransomware o similares.

Incidentes físicos

Por ejemplo, en caso de incendio, inundación, corte de energía o similar en la oficina

Sensitive personal data according to GDPR

Funciones y responsabilidades

Con el fin de gestionar una crisis de la manera más eficaz posible, es bueno tener funciones y responsabilidades claras que estén predeterminadas y asignadas de antemano. Si esto falta, conlleva un alto riesgo de volverse caótico en caso de crisis. Ejemplos de lo que la empresa debe definir en un plan de continuidad del negocio:

Líder de la crisis.

Responsable de TI.

Quién debe documentar el curso de los acontecimientos, las medidas adoptadas, etc.

Quién gestiona el contacto con terceros, como los interesados y las autoridades pertinentes.

La persona que se pondrá en contacto y manejará la comunicación con cualquier procesador de datos personales, proveedores, etc.

Subjektivt integritetskänsliga personuppgifter

Plan de comunicación

Una buena y clara comunicación es extremadamente importante dentro de una empresa, especialmente durante una crisis en curso. Por lo tanto, es bueno tener un plan claro para la comunicación interna si es necesario. Por ejemplo, puede regular cómo se debe informar a todos los empleados sobre el incidente, cómo se debe informar a los interesados si sus datos personales se han visto afectados por el incidente, si la empresa debe informar a la autoridad nacional de protección de datos y cuándo, qué canales de comunicación alternativos puede utilizar la empresa si no se puede utilizar el periódico, etc.

Measures that companies need to take to comply with GDPR

Formas alternativas de trabajo

Con el fin de continuar el trabajo durante una crisis en curso, la empresa necesita tener formas alternativas de trabajo. A menudo se trata de trabajar manualmente o con soluciones de emergencia. Por ejemplo, el Plan de Continuidad de Negocio debe incluir respuestas a las siguientes preguntas.

¿Cómo obtienen los empleados acceso a los documentos necesarios que necesitan para desempeñar sus funciones?

¿Puede el almacenamiento de datos personales tener lugar sin comprometer la seguridad?

¿Se manejarán los casos de los clientes si el sistema de TI de la empresa no funciona?

¿Cómo puede la empresa manejar la facturación, la nómina, las órdenes de trabajo y otras partes financieramente críticas de una empresa durante la crisis?

What is the definition of anonymised data?

Devolución

Cuanto más rápido una empresa vuelva a la normalidad después de una crisis, mejor. Por lo tanto, es bueno definir cómo debe hacerse, y a menudo sucede por etapas. Por ejemplo, mediante:

Reinicie los diferentes sistemas.

Transfiera el trabajo manual a los sistemas digitales.

¿Analizar qué daño ocurrió? Por ejemplo, violaciones de datos personales. Recuerde informar las violaciones de datos personales a los interesados y / o a las autoridades apropiadas si es necesario.

También es bueno documentar todo el proceso para demostrar el cumplimiento de RGPD y poder mejorarlo frente a una nueva crisis posible.

Prueba y actualización

Es importante probar el Plan de Continuidad de Negocio para saber si funciona o no, antes de que surja una crisis real. Por ejemplo, las empresas deben probar interrupciones simuladas y trabajar de acuerdo con el Plan de Continuidad del Negocio y un plan de recuperación ante desastres para ver si funciona en la práctica.

APRENDE MÁS

Un Plan de Recuperación ante Desastres complementa un Plan de Continuidad de Negocio

En pocas palabras, un Plan de Recuperación ante Desastres actúa como parte técnica del Plan de Continuidad de Negocio de la empresa. Es bueno que las empresas elaboren ambos documentos. Un Plan de Continuidad de Negocio describe cómo la empresa debe actuar en una crisis, mientras que un Plan de Recuperación de Desastres describe cómo los empleados deben restaurar la infraestructura de TI y el procesamiento de datos personales después de un desastre o crisis. Un Plan de Recuperación de Desastres suele ser más detallado que un Plan de Continuidad de Negocio.

¿Quieres saber más?

Leer más
Scroll al inicio