Estrategias de privacidad y medidas de seguridad

El artículo 5.1.f del Reglamento General de Protección de Datos (en adelante, RGPD) determina la necesidad de establecer garantías de seguridad adecuadas contra el tratamiento no autorizado o ilícito, contra la pérdida de los datos personales, su destrucción o daño accidental. Esto implica el establecimiento de medidas técnicas y organizativas apropiadas encaminadas a asegurar la integridad y confidencialidad y, en general, de acuerdo al artículo 32 del Reglamento, un nivel de seguridad adecuado al riesgo. Adicionalmente, también es obligación del responsable del tratamiento, según establece el artículo 25 de la norma, implementar las estrategias que incorporen la protección de la privacidad a lo largo de todo el ciclo de vida del objeto desarrollado, ya sea una aplicación, sistema, producto o servicio, desde su concepción hasta su retirada, de modo que la protección de datos esté presente desde las primeras fases de desarrollo y forme parte integral de la naturaleza de dicho objeto.

Tradicionalmente, el diseño de sistemas seguros y confiables se ha centrado en analizar los riesgos y dar respuesta a las amenazas que afectan a los objetivos de la seguridad que están más orientados a la privacidad: confidencialidad, evitando los accesos no autorizados a los sistemas; integridad, protegiéndolos de modificaciones no autorizadas de la información y disponibilidad, garantizando que los datos y los sistemas están disponibles cuando es necesario.

Sin embargo, aunque el acceso y la modificación no autorizada de los datos personales puede llegar a ser un aspecto crítico que amenace la privacidad de los individuos, existen otros factores de riesgo que pueden aparecer durante un procesamiento autorizado de los datos y que deben ser identificados durante la evaluación de riesgos para los derechos y libertades de los sujetos de los datos asociada al tratamiento. Por ello, es preciso ampliar el marco de análisis tradicional para que este cubra tanto los riesgos derivados de su tratamiento no autorizado como aquellos que pueden surgir de un procesamiento planeado y permitido de la información quedando así determinados los requisitos que deberá satisfacer cualquier sistema, producto, aplicación y servicio y que han de servir como entrada a los procesos de diseño de la privacidad.

En la práctica, supone tener en consideración, desde las primeras etapas de concepción de los sistemas y a lo largo de todo su ciclo de vida, un conjunto de diferentes estrategias de privacidad que ayuden a incorporar salvaguardas y medidas de protección en las operaciones y procedimientos de tratamiento de los datos personales, consiguiendo que los resultados finales tengan en cuenta los requisitos de privacidad identificados a raíz de la gestión del riesgo y dirigidos a garantizar los derechos y libertades de las personas cuyos datos son objeto de tratamiento. En concreto, estas estrategias se resumen en lo siguiente:

• Minimizar la cantidad de datos que son tratados, tanto en volumen de información recopilada como en el tamaño de la población objeto de estudio así como a lo largo de las diferentes etapas del tratamiento.
• Agregar los datos personales en la medida de lo posible para reducir al máximo el nivel de detalle que es posible obtener.
• Ocultar los datos personales y sus interrelaciones para limitar su exposición y que no sean visibles por partes no interesadas.
• Separar los contextos de tratamiento para dificultar la correlación de fuentes de información independientes, así como la posibilidad de inferir información.
• Informar a los interesados, en tiempo y forma, de las características y condiciones de su tratamiento para fomentar la trasparencia y permitir a los interesados tomar decisiones informadas sobre el tratamiento de sus datos.
• Proporcionar medios a los interesados para que puedan controlar cómo sus datos son recogidos, tratados, usados y comunicados a terceras partes mediante la implementación de mecanismos que permitan el ejercicio de sus derechos en materia de protección de datos.
• Cumplir con una política de privacidad compatible con las obligaciones y requisitos legales impuestos por la normativa.
• Demostrar, en aplicación del principio de responsabilidad proactiva, el cumplimiento de la política de protección de datos que se esté aplicando, así como del resto de requisitos y obligaciones legales impuestos por el Reglamento, tanto a los interesados como a las Autoridades de Supervisión.

Estas estrategias se concretan en técnicas específicas como las que se muestran a continuación:

Tal y como establece el artículo 25 del RGPD, la obligación de implementar la protección de datos desde el diseño y por defecto es aplicable a todos los responsables del tratamiento con independencia de su tamaño, el tipo de datos tratados, la naturaleza del tratamiento o el tipo de tecnologías utilizadas, así como sea cual sea la forma de desarrollo, adquisición o subcontratación del sistema, producto o servicio. Es por ello que la protección de datos desde el diseño se proyecta sobre otros actores participantes en el tratamiento de datos personales como son los proveedores y prestadores de servicios, desarrolladores de productos y aplicaciones o fabricantes de dispositivos en tanto que deben tener en cuenta el derecho a la protección de datos cuando desarrollen y diseñen estos productos, servicios y aplicaciones y así poder ofrecer garantías al responsable del tratamiento en el cumplimiento de esta obligación.

Puede obtener más información consultando la guía de privacidad desde el diseño publicada por la Agencia Española de Protección de Datos.

La adopción de medidas de seguridad, tanto de índole técnica como organizativa, que garanticen la confidencialidad, la integridad y la disponibilidad de la información son claves a la hora de garantizar el derecho fundamental a la protección de datos.

El artículo 32 del RGPD establece que estas medidas, que deben ser apropiadas para garantizar un nivel de seguridad adecuado al riesgo, se definen en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas. Es decir, no se establecen un catálogo de medidas de seguridad estáticas, sino que, en respuesta a un enfoque de gestión continua del riesgo, corresponde al responsable del tratamiento determinar aquellas medidas de control y seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales. Esta aproximación a la gestión del riesgo es común a todos los responsables con independencia del tamaño, las características o la disponibilidad de recursos de la organización, por lo que, de manera similar a las grandes organizaciones, también las pequeñas empresas, startups y emprendedores tienen que identificar el nivel de riesgo al que están sometidos sus tratamientos y adoptar las medidas necesarias para garantizar que los tratamientos se realizan en condiciones de seguridad y privacidad.

Es habitual que, en el caso de pequeñas y medianas empresas, parte de estos controles de seguridad y privacidad estén implementados como parte de los productos o appliance adquiridos o de los servicios prestados por fabricantes y prestadores de servicio tecnológicos. En todo caso, y en particular, en el supuesto de desarrollos cerrados llave en mano o de servicios prestados por cuenta de terceros que exijan el acceso a los datos personales tratados por el responsable, este velará porque el encargado implemente las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de dichos sistemas y servicios de acuerdo con nivel de riesgo detectado.

Aunque el global de los controles que se seleccionen, y que deberán ser formalmente definidos y aceptados como parte de un plan de acción que vendrá condicionado por el resultado de la evaluación de riesgos que realice, las medidas de seguridad mínimas que deberían tenerse en cuenta son las siguientes:

Medidas de gestión de la seguridad de la información

• Definición de una política de seguridad y los procedimientos de protección de los datos personales.

En esta política, se deben establecer los principios básicos para garantizar la seguridad y la protección de datos personales dentro de la organización. Basada en esta política, se desarrollarán procedimientos específicos, como la gestión de recursos o el control de accesos, en cuyo marco se implementen las medidas técnicas y organizativas necesarias.

• Definición de una política de control de acceso.

Basándose en las funciones y responsabilidades de cada usuario con acceso a datos de carácter personal, debe establecerse una política de control de acceso a los sistemas en los que se realiza el tratamiento en base al principio de “need to know” de modo que cada rol o usuario únicamente tenga el acceso y los permisos estrictamente necesarios para el desarrollo de las tareas y funciones que desarrolla.

• Gestión de recursos y gestión de los cambios.

La adecuada gestión de los medios del tratamiento, ya sean activos hardware, software o recursos de red, es una pieza clave para garantizar la seguridad de los datos personales, al igual que todo cambio producido en estos y que debe estar perfectamente sincronizado, controlado y supervisado para que, de modo accidental, no derive en una revelación, modificación o pérdida no autorizada de los datos personales tratados.

• Relación con los encargados del tratamiento.

De acuerdo al artículo 28 del RGPD, cuando el tratamiento se realice por cuenta del responsable del tratamiento, este sólo elegirá a aquellos encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos del interesado, quedando regulada esta relación mediante un contrato o acto jurídico equivalente. Además, el encargado deberá actuar bajo las instrucciones del responsable e implementar las medidas de seguridad, técnicas y organizativas, necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento de los datos personales de acuerdo con nivel de riesgo detectado.

Medidas en materia de personal

• Deber de confidencialidad del personal con acceso a datos personales.

El responsable del tratamiento debe adoptar las garantías necesarias para asegurar que el personal involucrado en el tratamiento de datos personales ha sido informado y conoce sus obligaciones con relación a los tratamientos de datos personales y en concreto el deber de confidencialidad y secreto que persiste incluso cuando finalice la relación laboral del trabajador con la empresa.

• Formación.

Para una efectiva implantación de las medidas técnicas y organizativas, el personal de la organización debe recibir formación periódica y actualizada en relación a los procedimientos de protección de datos personales y seguridad definidos y, en particular, los relativos a las restricciones en la comunicación y divulgación de datos personales, la  protección del acceso a estos por parte de terceros no autorizados mediante medidas de almacenamiento seguro, bloqueo de sesiones, cierre de despachos, etc. así como la destrucción segura de documentos y soportes.

Medidas de respuesta ante incidentes y continuidad de negocio

• Gestión de incidentes y brechas de seguridad.

En el caso de que se produzca una brecha de seguridad, el responsable debe valorar si esta supone la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Todos los empleados deben poner en conocimiento del responsable del tratamiento aquellas brechas de seguridad que afecten a datos personales para que este pueda notificarla a la Agencia Española de Protección de Datos, y en su caso a los interesados, en los términos descritos en el apartado Directrices para la gestión de brechas de seguridad de este documento. Además, y de forma independiente a la notificación de brechas, el responsable deberá implementar los mecanismos necesarios de registro, documentación y gestión de incidentes.

• Definición de un plan de continuidad de negocio.

La definición de un plan de continuidad de negocio es esencial para determinar los procedimientos y las medidas técnicas que una organización debe seguir en el caso de materialización de un incidente o una brecha de seguridad que afecte a los datos personales tratados para que, de acuerdo a lo establecido en el artículo 32 del RGPD, el responsable o el encargado del tratamiento sean capaces de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

• Control de acceso y autenticación.

La autenticación y el control de acceso son las medidas técnicas básicas para proteger los sistemas de información que tratan datos personales del acceso no autorizado y la implementación práctica de la política de control de acceso definida en las medidas organizativas.  Para ello, se recomienda disponer usuarios distintos si un mismo sistema es accedido por varios empleados, separar los usos personales de los profesionales y configurar perfiles sin privilegios de administración para que, en caso de materialización de un incidente de ciberseguridad, el atacante no obtenga privilegios de acceso al sistema operativo. Además, es altamente recomendable definir una política de contraseñas para controlar su complejidad y cambio periódico y formar a los empleados en la importancia de garantizar su confidencialidad evitando su exposición o comunicación a terceros. Para la gestión de las contraseñas puede consultar la guía de privacidad y seguridad en internet de la Agencia Española de Protección de Datos y el Instituto Nacional de Ciberseguridad.

• Monitorización y registro.

La activación y uso de logs (registros) en los sistemas de información permite la identificación y seguimiento de las acciones desarrolladas por los usuarios cuando acceden a los equipos en los que se realiza el tratamiento de datos personales. Esta funcionalidad permite identificar potenciales intentos, tanto internos como externos, de acceso no autorizado a los sistemas de información además de plantearse como una medida de responsabilidad proactiva en el caso de que se produzca un incidente de seguridad que derive en una pérdida, modificación o revelación no autorizada de datos personales.

• Seguridad de los datos.

Gran parte de las medidas a adoptar para garantizar la seguridad de los datos y el deber de salvaguarda tienen que ver con el aseguramiento y bastionado de los sistemas, entornos y redes en los que se realiza el tratamiento de los datos personales. Para ello conviene asegurar la información mediante la seudonimización y el cifrado de los datos personales así como proteger los sistemas en los que estos se procesan mediante la actualización de sistemas operativos y aplicaciones, el despliegue de servicios perimetrales de seguridad, tales como  antivirus y cortafuegos, y la implementación de políticas de seguridad que eviten que los usuarios realicen determinadas acciones que puedan comprometer la seguridad del entorno de trabajo como, por ejemplo, la desactivación del software antivirus o la instalación de determinadas aplicaciones.

• Seguridad de las comunicaciones.

Debe valorarse la necesidad de asegurar las comunicaciones, tanto hacia Internet como en la interconexión con otros sistemas internos o externos, mediante la instalación de cortafuegos, sistemas de detección de intrusión, segregación de redes y la utilización de mecanismos de cifrado para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.

• Copias de seguridad.

Las copias de seguridad o backups son uno de los medios más efectivos, como parte del plan de continuidad de negocio, para recuperar la información en el caso de una pérdida o destrucción de los sistemas que realizan el tratamiento de los datos personales. En función de las características del tratamiento, deberá definirse y configurarse, entre otros parámetros, la frecuencia y el tipo de copia de seguridad y así poder dar respuesta a una de las obligaciones para responsables y encargados del tratamiento establecidas en el artículo 32 del RGPD en relación a “la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico”. Para garantizar que cumplen su objetivo, las copias de seguridad realizadas deberán almacenarse en lugar seguro, distinto de aquél en que esté ubicado el sistema con los ficheros originales objeto de salvaguarda y verificar que se realizan correctamente conforme a la programación definida.

• Dispositivos portátiles.

Aunque el empleo de dispositivos y sistemas móviles permiten extender el nivel de servicio prestado por la organización, representan un riesgo adicional por la posibilidad de robo o pérdida accidental. En estos casos, deben adoptarse garantías adicionales, tanto a nivel organizativo (definición de las condiciones para su empleo y medidas de precaución a respetar) como técnicas (doble factor de autenticación, cifrado, códigos de bloqueo, …) para asegurar que los datos que contienen no se vean comprometidos.

• Desarrollo seguro.

En el desarrollo de aplicaciones, productos y servicios, ya sea por el propio responsable o a través de un tercero que actúe por cuenta de este bajo un encargo de prestación de servicios, deben tenerse en cuenta tanto los requisitos de seguridad como de privacidad desde la primeras fases de análisis y diseño de las actividades de tratamiento, así como el establecimiento de configuraciones de privacidad que sean lo más estrictas posibles, de modo que se dé cumplimiento al artículo 25 del RGPD relativo a la protección de datos desde el diseño y por defecto. Puede encontrar más información sobre la aplicación práctica de esta medida en la guía de Privacidad desde el Diseño publicada por la Agencia Española de Protección de Datos.

• Destrucción de la información.

El fin último en la destrucción o retirada de los dispositivos y soportes que contienen datos personales es un borrado irreversible de los datos de modo que estos no puedan ser recuperados. Los métodos utilizados dependerán del tipo de soporte, incluidas las copias en papel. En todo caso, el responsable del tratamiento debe asegurarse que los datos personales contenidos en un dispositivo han sido eliminados de forma permanente y de forma previa a la retirada del soporte. En todo caso, y a fin de dar cumplimiento al artículo 5.e del RGPD relativo al plazo de conservación, en la medida de lo posible deberían implementarse políticas automáticas de borrado de la información para asegurar que los datos no se conservan más allá del tiempo necesario en relación con el propósito por el que fueron recabados.

• Medidas de seguridad físicas.

Las medidas de seguridad y control de acceso físico juegan un papel tan importante como las medidas de seguridad técnicas en tanto que proteger los sistemas de un acceso físico no autorizado mediante sistemas de identificación del personal, definición de áreas de acceso restringido, sistemas de detección de intrusos o la instalación de barreras perimetrales, son la base sobre la que se apoya una estrategia global de seguridad.

Puede encontrar más información sobre estas recomendaciones de seguridad y su implementación mediante controles de seguridad específicos en el capítulo 4 del documento “Directrices para PYMES sobre la seguridad en el tratamiento de datos personales” desarrollado por la Agencia de la Unión Europa para la Ciberseguridad (ENISA).

La existencia y correcto funcionamiento de las medidas de seguridad implantadas será revisado de forma periódica. Esta revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual. Considere que cualquier incidente de seguridad informática que le haya ocurrido a cualquier conocido le puede ocurrir a usted, por lo que es recomendable adoptar las medidas apropiadas para protegerse contra el mismo.

Si desea más información u orientaciones técnicas para garantizar la seguridad de los datos personales y la información que trata su empresa, el Instituto Nacional de Ciberseguridad (INCIBE) en su página web www.incibe.es, pone a su disposición herramientas con enfoque empresarial en su sección «Protege tu empresa»   donde, entre otros servicios, dispone de:

• un apartado de formación con un videojuego, retos para respuesta a incidentes y videos interactivos de formación sectorial,
• un Kit de concienciación para empleados,
• diversas herramientas para ayudar a la empresa a mejorar su ciberseguridad, entre ellas políticas para el empresario, el personal técnico y el empleado, un catálogo de empresas y soluciones de seguridad y una herramienta de análisis de riesgos.
• dosieres temáticos que se complementan con videos e infografías y otros recursos,
• guías para el empresario,

Además INCIBE, a través de la Oficina de Seguridad del Internauta, pone también a su disposición herramientas informáticas gratuitas e información adicional que pueden ser de utilidad para su empresa o su actividad profesional.