Entrada 6 — Seguridad de la información aplicada a datos personales (Protección de Datos de Carácter Personal en España)

 

Entrada 6 — Seguridad de la información aplicada a datos personales

Protección de Datos de Carácter Personal en España

La privacidad no se protege solo con buenas intenciones. Se protege con medidas concretas.

La seguridad de la información es el conjunto de herramientas, políticas y controles que permiten que los datos personales estén a salvo de accesos no autorizados, pérdidas, alteraciones o destrucciones.

Esta entrada explica cómo aplicar la seguridad de forma proporcional, eficaz y alineada con el RGPD.

 

1. Seguridad y privacidad: conceptos distintos pero complementarios

·       Privacidad protege a la persona.

·       Seguridad protege los datos.

·       Ambas se necesitan mutuamente.

Ejemplo: una organización puede tener políticas de privacidad impecables, pero si sus sistemas son vulnerables, los datos estarán en riesgo.

 

2. Principios de la seguridad de la información

La seguridad debe ser:

·       Confidencial: solo acceden quienes están autorizados.

·       Íntegra: los datos no se alteran sin control.

·       Disponible: los datos están accesibles cuando se necesitan.

·       Trazable: se puede saber quién accedió, cuándo y cómo.

·       Resiliente: capaz de recuperarse ante incidentes.

Estos principios se aplican tanto a sistemas como a procesos humanos.

 

3. Medidas técnicas y organizativas

El RGPD exige aplicar medidas “adecuadas” según el riesgo.

No hay recetas universales, pero sí buenas prácticas:

·       Cifrado de datos

·       Control de accesos

·       Copias de seguridad

·       Registro de actividades

·       Evaluación de impacto

·       Formación del personal

·       Políticas de uso de dispositivos

·       Gestión de brechas de seguridad

Ejemplo: una empresa que permite el acceso a datos sensibles sin autenticación fuerte está incumpliendo el principio de confidencialidad.

 

4. Brechas de seguridad: cómo actuar

Una brecha de seguridad es cualquier incidente que afecte a la confidencialidad, integridad o disponibilidad de los datos personales.

El responsable debe:

·       Notificar a la AEPD en máximo 72 horas

·       Informar al interesado si hay alto riesgo

·       Documentar el incidente

·       Analizar causas y consecuencias

·       Aplicar medidas correctoras

Ejemplo: el robo de un portátil sin cifrado que contiene datos personales debe ser notificado.

 

5. Normas y estándares aplicables

Además del RGPD, existen marcos técnicos que ayudan a aplicar la seguridad:

·       Esquema Nacional de Seguridad (ENS)

·       Normas ISO 27001, 27701, 22301

·       Guías de la AEPD sobre seguridad

·       Buenas prácticas sectoriales

El profesional de cumplimiento debe conocer estos marcos para traducir la norma en medidas concretas.

 

6. Cierre: proteger los datos es proteger a las personas

La seguridad no es solo una cuestión técnica. Es una forma de respeto.

Cada medida que protege un dato protege también la confianza, la reputación y la dignidad de quien lo ha compartido.

En la próxima entrada abordaremos el principio de privacidad desde el diseño y por defecto.