El Reglament (UE) 2016/679, General de Protecció de Dades (d’ara endavant, RGPD), exigeix a empreses i institucions l’adopció de les mesures tècniques i organitzatives adequades per garantir la seguretat, la integritat i la confidencialitat de les dades personals que tracten (art. 32).
Així mateix, defineix la bretxa de seguretat com “qualsevol incident que provoqui la destrucció, pèrdua o alteració accidental o il·lícita de dades personals, o la comunicació o l’accés no autoritzats a aquestes dades” (art. 4.12), i adopta un enfocament basat en el risc, cosa que obliga a analitzar les possibles amenaces que afectin la informació i a implantar mesures de seguretat proporcionals a aquestes.
En aquest sentit, el focus i els esforços solen centrar-se en les solucions tècniques: sistemes de xifratge, tallafocs, còpies de seguretat, antivirus, etc. Totes elles són necessàries, però no suficients, ja que per si soles no garanteixen un nivell adequat de seguretat.
De què serveix una gran inversió en tecnologia i seguretat de la informació si el personal laboral la desconeix?
Això implica que cal incloure, a més, mesures organitzatives i humanes per abordar i neutralitzar un dels riscos més importants: el factor humà. Sense el compromís i la capacitació del personal, qualsevol mesura tècnica pot fallar, ja que les bretxes de seguretat poden provenir tant d’atacs informàtics sofisticats com de simples errors humans, com ara la descàrrega d’un arxiu maliciós, l’enviament d’un correu electrònic al destinatari incorrecte o la pèrdua de dispositius que contenen informació sensible.
A més, tal com ha reiterat l’Agència Espanyola de Protecció de Dades (d’ara endavant, AEPD) en diverses resolucions sancionadores, el fet que una infracció es produeixi “sense intenció” o “per error” no exclou la responsabilitat del responsable del tractament.
Quin paper té el personal laboral en la prevenció d’incidències o bretxes de seguretat?
En tota empresa ha de prevaldre el principi de responsabilitat proactiva o accountability, entès com l’obligació no només de complir la normativa, sinó també de poder-ho acreditar davant les autoritats i els usuaris, aplicant mesures com la protecció de dades des del disseny i per defecte (art. 5.2 i 25).
Això significa que la formació del personal en matèria de protecció de dades és obligatòria?
La resposta és que no es tracta d’un requisit explícit per a tots els empleats en totes les situacions, però sí que s’espera que l’empresa garanteixi que el seu personal comprèn les seves obligacions per evitar bretxes de seguretat.
L’AEPD ha assenyalat que la formació ha de ser adequada, continuada i adaptada al lloc de treball, especialment en entitats que compten amb la figura del Delegat de Protecció de Dades o que tracten categories especials de dades.
Alguns exemples de mesures que el personal laboral ha de tenir en compte per protegir la informació tractada inclouen la gestió segura del correu electrònic, que comporta la verificació del destinatari abans d’enviar informació amb dades personals, l’ús correcte dels camps CC i CCO, la comprovació dels fitxers adjunts i l’aplicació de protocols d’actuació en cas d’error.
També la detecció i prevenció del phishing i de les tècniques d’enginyeria social, així com la gestió segura de contrasenyes i accessos, que implica l’ús de contrasenyes úniques i robustes, la prohibició de compartir-les, el bloqueig de la sessió en absentar-se del lloc de treball, etc.
Altres mesures poden ser l’ús segur de dispositius i suports físics i el tractament adequat de la documentació en paper, des de la seva custòdia adequada fins a la destrucció segura quan ja no sigui necessària.
Així doncs, la formació i la conscienciació del personal constitueixen un element clau en la prevenció d’incidents. La cultura organitzativa ha de promoure la identificació precoç de possibles incidències i la comunicació interna de qualsevol anomalia, així com la notificació sense demora a l’autoritat de control de qualsevol bretxa de seguretat, obligació imposada per l’article 33 del RGPD al responsable del tractament.
D’aquesta manera, no només es redueix la probabilitat que es produeixin incidents, sinó que també es millora la capacitat de reacció de l’organització.
En conclusió, la protecció de dades personals exigeix anar més enllà del compliment normatiu i de les solucions tècniques, integrant la cultura de la conscienciació i una formació adequada com a mesures de seguretat preventives.
Si estàs interessat a rebre informació sobre protecció de dades o que realitzem una formació per al personal laboral de la teva empresa, només has de posar-te en contacte amb nosaltres.
Article de l’Imma Martí.
