Cada vez son más los gobiernos reforzando las leyes que regulan la manipulación de datos personales, mientras que la cantidad de filtraciones sigue creciendo año tras año. Por ello, si hace unos diez años las pérdidas financieras más importantes que podía sufrir una empresa eran a causa de las demandas judiciales y los daños a su reputación, ahora cobran protagonismo las sanciones de los reguladores, que pueden representar una parte importante de los daños de la empresa como resultado de un incidente de pérdida de datos.
Ante esta situación, hemos decidido publicar una serie de consejos que te ayudarán a organizar procesos seguros para recopilar, almacenar y transferir información de identificación personal en tu empresa.
La recopilación de datos personales
Lo primero y más importante: recopila datos solo si tienes motivos legales suficientes para hacerlo. La recopilación de datos puede estar prevista formalmente por la ley del país en el que opera tu empresa, un contrato con términos que permiten claramente el procesamiento de información personal de identificación (PII) o un consentimiento expresado por un sujeto PII en formato electrónico o papel. Además:
- guarda las pruebas del consentimiento obtenido para el procesamiento y almacenamiento de PII en caso de demandas o inspecciones;
- no recopiles datos que no sean realmente necesarios para tus procesos de trabajo (los datos no se deben recopilar “por si acaso”).
- si se recopilan datos que no son necesarios para el trabajo debido a algún error o malentendido, elimínalos de inmediato.
El almacenamiento de datos personales
Si recopilas datos personales, es muy importante que sepas dónde almacenarlos, quién puede tener acceso a ellos y cómo se procesan. Para ello, es posible que debas crear una especie de “mapa” donde se registren todos los procesos relacionados con la PII. Entonces, será recomendable desarrollar regulaciones estrictas para el almacenamiento y procesamiento de datos, y monitorizar constantemente la implementación de ambos. También aconsejamos lo siguiente:
- Almacenar la PII exclusivamente en medios inaccesibles para los intrusos.
- Limitar el acceso a la PII a un número mínimo de empleados: solo debe estar disponible para aquellos que realmente la necesitan por motivos laborales.
- Eliminar de inmediato los datos personales que ya no se requieren para los procesos corporativos.
- Si el flujo de trabajo requiere el almacenamiento de documentación en papel, solo deben guardarse en lugares seguros como, por ejemplo, una caja fuerte con cerradura.
- Los documentos en papel que no sean necesarios deben destruirse con trituradoras.
- Si los datos no son necesarios tal como están, anonimízalos. De esta forma, quedarán desprovistos de identificadores únicos para que, incluso en caso de filtración, resulte imposible identificar al sujeto.
- Si no es posible anonimizar los datos debido a tus procesos corporativos, debes pseudo-anonimizarlos: convertir la PII en una cadena única para que la identificación del sujeto resulte imposible sin información adicional.
- Evitar el almacenamiento de la PII en dispositivos corporativos y discos duros externos o memorias USB: se pueden robar o perder, pudiendo usarlas un atacante para acceder a los datos del ordenador.
- No almacenar ni procesar PII real en la infraestructura de prueba.
- No usar nuevos servicios para almacenar y procesar datos hasta que estés seguro de que cumplen con los requisitos básicos de seguridad.
La transferencia de datos personales
Todos los procesos relacionados con la transferencia de datos personales deben estar registrados y aprobados por el departamento de seguridad o el delegado de protección de datos, si existe. Además, todos los empleados con acceso a la PII deben tener instrucciones claras sobre cómo manejar los datos de la empresa, qué servicios corporativos o de terceros se pueden usar para ello y a quién se pueden transferir estos datos. Además, asegúrate de que:
- los subcontratistas como, por ejemplo, un proveedor de servicios gestionados, no tengan acceso con derechos de administrador a los sistemas que contenga PII.
- el acceso a los datos esté limitado a una base extraterritorial: los datos de los ciudadanos de un país no deben estar disponibles en otros países a menos que la transferencia transfronteriza de datos no esté regulada.
- al transferir la PII, siempre se utilice el cifrado: esto resulta especialmente importante cuando se envían datos por correo electrónico.
- al transferir datos personales a organizaciones de terceros, se firme un acuerdo de procesamiento de datos (DPA).
- tienes el derecho legal de transferir PII a terceros. Es decir, existe un consentimiento para ello por parte del sujeto PII, ya esté especificado en un contrato o lo exija la ley.
Por supuesto, ninguno de estos consejos, ni siquiera las estrictas regulaciones, pueden excluir la posibilidad de un error humano. Por lo tanto, entre otras cosas, te recomendamos realizar periódicamente formaciones de sensibilización en materia de seguridad. Para ello, es recomendable elegir plataformas de aprendizaje que incluyan sobre todo contenido relacionado con la privacidad y la manipulación de datos personales.