El Reglamento (UE) 2016/679, General de Protección de Datos (en adelante RGPD) exige a empresas e instituciones la adopción de las medidas técnicas y organizativas apropiadas para garantizar la seguridad, integridad y confidencialidad de los datos personales que tratan (art. 32).
Así mismo define la brecha de seguridad como “todo incidente que provoque la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos”. (art. 4.12) y adopta un enfoque basado en el riesgo, lo cual obliga analizar las posibles amenazas que afecten a la información y a implantar las medidas de seguridad proporcionales a las mismas.
En este sentido, el foco y los esfuerzos suelen ponerse en las soluciones técnicas: sistemas de cifrado, firewalls, copias de seguridad, antivirus, etc. Todas ellas necesarias, pero no suficientes, ya que por sí solas no garantizan un nivel de adecuado de seguridad.
¿Para qué sirve una gran inversión en tecnología y seguridad de la información si nuestro personal laboral lo desconoce?
Esto supone que debemos incluir, además, medidas organizativas y humanas para abarcar y neutralizar uno de los riesgos más importantes: el factor humano, puesto que sin el compromiso y capacitación del personal cualquier medida técnica puede fallar, pues las brechas de seguridad pueden provenir de ataques informáticos sofisticados, pero también de simples errores humanos como la descarga de un archivo malicioso, el envío de un correo al destinatario incorrecto, la pérdida de dispositivos que contienen información sensible…
Además, como la Agencia Española de Protección de Datos (en adelante AEPD) ha reiterado en diferentes resoluciones sancionadoras, el hecho de que una infracción se produzca «sin intención» o «por error» no excluye la responsabilidad del responsable del tratamiento.
¿Qué papel tiene el personal laboral en la prevención de incidencias o brechas de seguridad?
En toda empresa debe primar el principio de responsabilidad proactiva o accountability, entendido como la obligación no solo de cumplir con la normativa sino también de poder probarlo ante autoridades y usuarios, aplicando medidas como protección de datos desde el diseño y por defecto (art.5.2 y 25).
¿Esto significa que la formación del personal en materia de protección de datos es obligatoria?
La respuesta es que no se trata de un requisito explícito para todos los empleados en todas las situaciones, pero sí se espera que la empresa se asegure de que comprenden sus obligaciones para evitar brechas de seguridad.
La AEPD ha señalado que la formación debe ser adecuada, continuada y adaptada al puesto, especialmente en entidades que cuentan con la figura del Delegado de Protección de Datos o que tratan categorías especiales de datos.
Algunos ejemplos de medidas para tener en cuenta por parte del personal laboral en una organización en aras a proteger la información que se trata serian la gestión segura del correo electrónico, lo cual incluiría la verificación del destinatario antes de enviar información con datos personales, uso correcto de los campos CC y CCO, comprobación de archivos adjuntos, protocolos de actuación en caso de error…
También la detección y prevención del phishing y técnicas de ingeniería social, la gestión segura de contraseñas y accesos, implicando esto el uso de contraseñas únicas y robustas, la prohibición de compartirlas, el bloqueo de sesión al ausentarse el empleado, etc.
Otras medidas podrían ser el uso seguro de dispositivos y soportes físicos y el tratamiento adecuado de documentos en papel, desde su custodia adecuada hasta la destrucción segura cuando ya no sean necesarios.
Así pues, la formación y la concienciación del personal constituye un elemento clave en la prevención de incidentes. La cultura organizativa debe promover la identificación temprana de posibles incidentes y la comunicación interna de cualquier anomalía o la notificación sin demoras a la autoridad de control de cualquier brecha de seguridad, obligación que impone el artículo 33 RGPD al responsable del tratamiento.
De este modo no sólo se consigue reducir la probabilidad de que se produzcan incidentes, sino que se mejora la capacidad de reacción de la organización.
En conclusión, la protección de datos personales exige ir más allá del cumplimiento normativo y de las soluciones técnicas, integrando la cultura de la concienciación y una adecuada formación como medidas de seguridad preventivas.
Si estás interesado en recibir información sobre protección de datos, o que realicemos una formación al personal laboral de tu empresa, ¡sólo tienes que ponerte en contacto con nosotros!
Artículo de Alba Gómez.
