La próxima entrada en vigor del Reglamento General de Protección de Datos (RGPD) determina la necesidad de adoptar medidas de seguridad en el tratamiento de datos.
Medidas seguridad RGPD (Reglamento General de Protección de Datos)
Las medidas seguridad RGPD tienen como finalidades principales garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados de las mismas. Por ello, el RGPD o Reglamento General de Protección de Datos (en inglés GDPR, siglas de General Data Protection Regulation) contempla medidas de seguridad que deben adaptarse a las características de los tratamientos, al tipo de datos tratados o a la tecnología disponible en cada momento. No establece unas medidas de seguridad determinadas, sino que tras un análisis de riesgos previo, la organización deberá determinar las medidas que resultan adecuadas en atención a la tecnología, tipología y volumen de datos tratados, tratamientos realizados, etc.
Los tratamientos que implican un bajo riesgo para los derechos o libertades de los interesados no requerirán, en principio, medidas de seguridad más complejas que las actualmente establece el Reglamento de Desarrollo de la LOPD para nivel básico.
El responsable debe asegurarse de que esas medidas se aplican y también valorar si en el caso de los tratamientos que realiza, por ejemplo, por el contexto concreto en que se desarrollan o el tipo de interesados a los que se refiere, sería necesaria alguna medida de seguridad distinta o adicional. En este caso podrían servir como orientación las medidas de nivel medio que se recogen en el Reglamento de la LOPD.
No obstante actualmente tenemos dos marcos de referencia que resultan válidos para la implantación de un sistema de gestión de seguridad de los datos de carácter personal en cualquier organización, El Esquema Nacional de Seguridad y la Norma ISO 27001.
Esquema Nacional de Seguridad
Exigido de forma obligatoria para el sector público por la disposición adicional primera del Proyecto de la LOPD, podremos encontrar diferentes marcos de seguridad.
En este Esquema se establecerán unas Políticas y Normativas de seguridad, así como unos Procedimientos y Procesos de autorización para la utilización de los equipos y aplicaciones de la empresa. También será necesario realizar un análisis de riesgos según el tipo de dato tratado donde identificar los activos más valiosos del sistema, las amenazas más probables, los riesgos residuales y valorarlos cuantitativamente.
Se tendrán en cuenta los requisitos y derechos de acceso ateniéndose a la política y normativa de seguridad del sistema. Se mantendrán inventarios actualizados de activos detallando la naturaleza del mismo y sus propietarios. Se llevará un registro de incidencias y actividad de los trabajadores.
También se contemplará un plan de continuidad de negocio realizando análisis de impacto. Se tendrán en cuenta las personas que utilizan los locales y se acondicionarán de manera que se garantice un eficaz funcionamiento de los equipos allí instalados.
Se informará al personal de sus deberes y responsabilidades de su puesto de trabajo facilitándole un compromiso de confidencialidad. También se exigirá un correcto etiquetado de los soportes y una destrucción definitiva cuando no sean necesarios.
Norma ISO 27001 (medidas seguridad RGPD)
En la norma ISO 27001 se establecen unos diferentes objetivos de control divididos en diferentes dominios como son:
- Políticas de seguridad de la información: cuyo objetivo es proporcionan orientación y apoyo a la gestión de la seguridad de la información de acuerdo con los requisitos del negocio, las leyes y normativa pertinentes
- Organización de la seguridad de la información: en el ámbito de la organización interna se tratará de establecer un marco de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. También se busca garantizar la seguridad en el teletrabajo y en el uso de dispositivos móviles.
- Un marco de seguridad relativa a los recursos humanos estableciendo unas directrices para los empleados antes, durante y al finalizar su trabajo en la empresa.
- Un marco de gestión de activos donde se identificarán los mismos así como las responsabilidades sobre ellos. Se clasificará la información para asignarle un nivel adecuado de protección. Se establecerán políticas para la correcta manipulación y destrucción de soportes extraíbles.
- Un marco para el control de acceso donde se definen los requisitos de acceso en el negocio, la gestión de usuarios, las responsabilidades de cada uno así como el acceso a sistemas y aplicaciones.
- Un marco para la criptografía de los datos con el fin de garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y/o integridad de la información.
- Un marco de seguridad física donde se definirán áreas seguras dentro de las instalaciones y de los equipos.
- Un marco de seguridad de las operaciones donde se definirán los procedimientos y responsabilidades operacionales. Protección contra el malware, copias de seguridad, registros…
- Un marco de seguridad de las comunicaciones para gestionar la seguridad de las redes e intercambio de información.
- Se controlará la relación con los proveedores para asegurar la protección de los activos de la organización que sean accesibles a los proveedores.
- También se llevará un registro de incidencias para gestionar los incidentes de seguridad de la información, incluida la comunicación de eventos y seguridad y debilidades.
- Se contemplará un plan de continuidad de negocio similar al Esquema Nacional de Seguridad mencionado.
- Y por último un marco legal donde se contemplará el cumplimiento de las obligaciones legales, estatutarias, reglamentarias o contractuales relativas a la seguridad de la información o de los requisitos de seguridad.
A pesar de que la Norma ISO 27001 se centra más en medidas técnicas, ambos esquemas son totalmente válidos para implantarlos en nuestra empresa para dar cumplimiento a las medidas seguridad RGPD.
Le recordamos que AIXA Corpore, como empresa altamente especializada en Derecho TIC, presta servicios de implantación de RGPD así como de implantación de la Norma ISO 27001.