Con la entrada en vigor del Reglamento General de Protección de Datos, las empresas tienen que cumplir unas medidas de seguridad RGPD para evitar ser sancionadas. Estas medidas de seguridad no están definidas (como ocurría con la antigua LOPD), sino que se establecen en función del riesgo detectado. Sin embargo, sí que tenemos que tener en cuenta unas medidas mínimas para proteger nuestros datos: copia de seguridad, cifrado de datos y actualización de dispositivos.
A la hora de establecer las medidas de seguridad RGPD, podemos dividirlas en dos niveles: por un lado las organizativas y por otro lado las medidas técnicas.
Medidas de seguridad RGPD: Medidas organizativas
Las medidas de seguridad RGPD organizativas tienen que comunicarse a los empleados, y son las siguientes:
- Impedir el acceso a datos personales por parte de personas no autorizadas. Para ello, no hay que dejar ordenadores desbloqueados o papeles con datos en lugares sin supervisión.
- Guardar los documentos en soportes físicos (ya sea papel o formatos electrónicos) en lugares seguros.
- Destruir los documentos con datos personales antes de desecharlos.
- No dar datos personales a terceros, ni durante llamadas telefónicas ni correos electrónicos.
- Si se produce una violación de la seguridad de datos personales, hay que notificarlo a la Agencia Española de Protección de Datos.
Además, dentro de las medidas de seguridad RGPD organizativas, tenemos que tener en cuenta que la empresa debe facilitar el ejercicio de los derechos ARCO.
Medidas de seguridad RGPD: medidas técnicas
Dentro de las medidas de seguridad RGPD técnicas, distinguimos dos bloques importantes: la identificación de usuarios y el deber de salvaguarda.
En relación a la identificación de usuarios, es muy importante que haya contraseñas para el acceso a los datos personales. Estas contraseñas deberían ser alfanuméricas y con al menos 8 caracteres. Además, si varias personas pueden acceder a los datos, cada una de ellas tendrá que tener su propio usuario y contraseña.
Lo ideal es que los ordenadores tengan un perfil de administrador para la configuración del sistema y el resto de usuarios no tengan ningún privilegio, de modo que en caso de ataque informático no se pueda modificar el sistema.
Además, las contraseñas deben ser confidenciales y no deben compartirse. Tampoco pueden estar anotadas y a la vista, ni ser usadas para que acceda otro usuario.
En cuanto a las medidas para salvaguardar los datos, estos son los puntos a tener en cuenta:
- Los dispositivos tienen que estar actualizados, tanto ordenadores como teléfonos móviles.
- A la hora de trasladar los datos, deberá garantizarse su confidencialidad, ya sea por medios de cifrado o por medios físicos.
- Se deberá crear una copia de seguridad periódicamente. Esta se guardará en un lugar seguro y distinto a donde están guardados los datos de manera habitual.
- Los dispositivos contarán con un cortafuegos para evitar accesos indebidos o ataques informáticos.
- También es necesaria la instalación de un programa antivirus para garantizar la protección de los datos personales.
Medidas de seguridad RGPD: Un paso más allá
Estas son solos las medidas de seguridad RGPD mínimas. El Reglamento General de Protección de Datos establece que la seguridad debe establecerse en función de un análisis de riesgos, de forma que sean proporcionales a estos.
Es por ello que, previo a la adaptación de nuestra empresa al RGPD, debemos realizar ese análisis de riesgos de seguridad para obtener las medidas necesarias en función de cómo se clasifiquen nuestros ficheros.
