Ante la constante y creciente evolución tecnológica, y la correspondiente transformación digital que ello conlleva, hace que sea crucial abordar la protección de datos personales con un modelo de gestión continua del riesgo, donde se definan las medidas de control y seguridad necesarias a los tratamientos que se lleven a cabo.
Durante la actividad diaria empresarial, las empresas, como responsables del tratamiento de datos, deberán aplicar una serie de medidas de seguridad, tanto técnicas como organizativas, que garanticen que los datos personales a los que puedan acceder están protegidos por unas medidas tales que puedan paliar los riesgos y amenazas a los que están expuestos, en caso de que éstos llegaran a materializarse.
Es muy importante que, al evaluar la adecuación del nivel de seguridad se tengan en cuenta los riesgos a los que están sometidos los datos personales y su tratamiento, tanto antes de empezar éste como en el momento mismo del tratamiento, observando los posibles riesgos para la protección de datos de los afectados, valorar la probabilidad de que sucedan y el impacto o daño que causarían en caso de que se materializaran, es decir, se conviertan en una realidad.
Los riesgos a los que puede estar sometido el tratamiento de los datos puede conllevar la destrucción o pérdida de datos, la alteración accidental o ilícita o un acceso o comunicación no autorizada a dichos datos, entre otros.
Una vez evaluado el riesgo existente, las medidas que pueden adoptarse, entre otras, son:
- La seudonimización, o el tratamiento de datos personales de manera tal que no puedan atribuirse a un interesado dichos datos sin utilizar información adicional (por ejemplo, mediante códigos se sustituyen los datos identificativos de un afectado, este código y los datos identificativos deberán figurar por separado y con medidas de seguridad suficientes que hagan que no pueda atribuirse directamente la identificación del titular si no se tiene el código que lo ha sustituido). Esta medida permite generar más seguridad en el tratamiento porque, aunque sustraigan esa información, si no se dispone de la relación de códigos e interesados no van a poder atribuir esa información a un sujeto en concreto;
- El cifrado, de tal forma que, si se roba un dispositivo con datos, si está cifrado es inteligible para el ladrón y no puede accederse a los datos que contiene el dispositivo;
- La capacidad de garantizar la confidencialidad (entendida como la propiedad de la información por la cual ésta no es vista o accedida por personas no autorizadas), la integridad (la información es veraz y corresponde a la situación real de la persona y no es manipulada por nadie no autorizado), la disponibilidad (la información está accesible cuando se necesita) y la resiliencia (la capacidad de nuestra infraestructura de continuar en un nivel de funcionamiento razonable a pesar de fallos en sus operaciones normales, por ejemplo, por sobrecarga de trabajo, tráfico malicioso, hackers, etc.);
- La realización de copias de seguridad, para poder restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico (por ejemplo, una inundación) o técnico (por ejemplo, el borrado accidental de la base de datos).
- Realización de auditorías periódicas, con el fin de evaluar, valorar y verificar la eficacia y efectividad real de las medidas técnicas y organizativas implantadas para garantizar ese nivel de seguridad que se espera.
Asimismo, es básico también que las empresas tomen medidas encaminadas a garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a los datos sólo pueda tratar dichos datos siguiendo las directrices marcadas por el responsable, prohibiendo, por ejemplo, la salida de documentación o soportes que contengan datos fuera de las instalaciones o efectuar actuaciones que no hayan sido autorizadas previamente.
Como medidas organizativas se podrían tener en cuenta la agrupación de los usuarios por perfiles (detallando los datos y recursos a los que cada perfil ha de tener acceso), establecimiento de protocolos para conceder las autorizaciones de acceso o revocarlas cuando el trabajador ya no esté en la empresa o, del más importante, hacer firmar a los empleados los compromisos de confidencialidad y deber de secreto sobre los datos a los que acceden.
En cuanto a medidas técnicas, se pueden tener en cuenta el establecimiento de Id de usuario y contraseñas para acceder a la información, establecer un control y registro de accesos a los datos para que solo accedan los usuarios autorizados o un control de acceso físico a los lugares donde se almacenan los mismos.
Con la determinación de los controles y medidas de seguridad adoptados, se podrá eliminar el riesgo para que no se produzca, mitigarlo para que el impacto sea el menor posible, transferirlo a otra entidad (un encargado del tratamiento, por ejemplo) o aceptarlo si el impacto que producen sobre el tratamiento de datos no es muy significativo.
