¿Cómo proteger los datos de los usuarios y cumplir la normativa GDPR?

Image of Carlo Cilento

Publicado el 13 ene 2023 y editado el 15 ago 2023 por Carlo Cilento

Este artículo se ha traducido automáticamente. Cambia a la versión en inglés para ver el original.

Proteger los datos de los usuarios no es solo un elemento de buena gobernanza de datos: es una obligación legal en virtud del GDPR. Las violaciones de datos pueden costar a las empresas una multa y dañar su reputación, por lo que procesar los datos de forma segura y confidencial es fundamental para las empresas.

Por supuesto, no existe una solución universal para garantizar la seguridad de los datos, ya que las operaciones de tratamiento difieren enormemente de una organización a otra. Sin embargo, algunas directrices básicas se aplican a todos los escenarios. Vamos a dar por sentadas las medidas técnicas de seguridad (esperemos que utilice mecanismos de autenticación seguros, cifre los datos, etc.) y nos centraremos en lo que se puede hacer desde la perspectiva de la gobernanza de los datos.

  1. Conozca sus flujos de datos
  2. Conozca a sus procesadores
  3. Adopte una política de acceso responsable
  4. Cuidado con las transferencias de datos
  5. Forme a su personal
  6. Tener en cuenta los errores humanos
  7. Adoptar una política sensata de verificación de DSAR
  8. Disponga de una política de recuperación de datos en caso de catástrofe
  9. Procesar menos datos
  10. Reflexiones finales
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Entremos en materia

Conozca sus flujos de datos

El punto de partida para proteger los datos de los usuarios es una buena gobernanza de los datos, lo que requiere saber qué se hace con ellos. Esto puede parecer trivial, pero no lo es. Los flujos de datos suelen ser más complejos de lo que parece a simple vista: es fácil centrarse únicamente en los datos que te interesan y pasar por alto otras categorías de datos que también se procesan junto con los datos "principales".

Por ejemplo, supongamos que el departamento jurídico de una empresa almacena copias de los contratos físicos con los clientes en su sistema de archivo. Esta operación es más compleja de lo que parece. Se necesitan credenciales de acceso al sistema de archivo, y un administrador del sistema tendrá que gestionar los privilegios de acceso. Además, la empresa querrá controlar el acceso a los datos, lo que significa que el sistema de archivo debe generar y almacenar metadatos para cada usuario. Centrarse demasiado en los currículos hace que sea fácil perder de vista el panorama general.

Flujos de protección de datos

En la vida real, las cosas pueden ser más complicadas: otros miembros del personal pueden gozar de diferentes privilegios de acceso, el personal informático puede necesitar acceder al sistema para realizar su trabajo, pueden intervenir terceros procesadores, etc. Tener en cuenta todas estas variables no es sencillo, sobre todo cuando se trata de arquitecturas de datos complejas.

Trazar un mapa de los flujos de datos tiene muchas ventajas. Un mapa preciso y completo

  • Pone de relieve los problemas de acceso y seguridad que se pueden resolver.
  • pone de relieve las oportunidades para hacer más eficiente la arquitectura de datos
  • ayuda a implantar nuevos flujos de datos de forma coherente con la arquitectura existente
  • ayuda a garantizar que la política de acceso refleja la forma en que se procesan realmente los datos
  • facilita el registro de las actividades de tratamiento (un requisito para algunas empresas en virtud del RGPD1)
  • le ayuda a cumplir con las solicitudes de acceso y eliminación porque sabe qué datos controla y dónde encontrarlos dentro de sus sistemas.

Mapear los flujos de datos puede ser complicado para las grandes empresas en las que procesan diferentes equipos. Otras categorías de datos personales incluyen datos de clientes, datos de análisis web, datos de empleados, información de pagos, etc. Además, la arquitectura de datos de una empresa se vuelve cada vez más compleja con el tiempo, por lo que cuanto más tarde se haga el mapa, más difícil resultará. Lo ideal es elaborar mapas desde el principio y actualizarlos periódicamente.

El caso de Meta es bastante instructivo. Los litigios contra la empresa revelaron que nadie en Meta sabe exactamente cómo se procesan los datos. Facebook existe desde hace casi dos décadas, pero Meta sólo intentó (y fracasó) cartografiar sus flujos de datos el año pasado a raíz de una orden judicial. La arquitectura de datos de Meta es tan increíblemente compleja que trazarla desde cero es prácticamente imposible.

Conozca a sus procesadores

Muchas empresas dependen de un tercero para procesar datos de una manera u otra, ya sea almacenamiento en la nube, una plataforma como servicio, un proveedor de servicios de correo electrónico o un contratista encargado del mantenimiento de TI.

Según el GDPR, estas partes son procesadores de datos y deben firmar un acuerdo de procesamiento de datos (DPA) con usted. Tenga en cuenta que puede ser considerado responsable de cualquier daño que su procesador pueda causar por infringir el GDPR2- ¡incluidas las infracciones que puedan sufrir!

Asegúrese de que solo cuenta con procesadores de confianza con una buena gobernanza de datos y políticas de divulgación estrictas. Lo mismo se aplica a cualquier subencargado del tratamiento implicado (es decir, cualquier encargado del tratamiento que trabaje para su encargado). Si es posible, es preferible el tratamiento interno de determinadas categorías de datos (por ejemplo, secretos comerciales y datos personales sensibles como la información médica).

Adopte una política de acceso responsable

Por regla general, cuantas más personas puedan acceder a los datos, más cosas pueden salir mal. El control de acceso basado en funciones garantiza que sólo pueda acceder a los datos el personal que realmente los necesita. Esto es especialmente importante para las grandes empresas con una estructura compleja: RR.HH. necesita datos de bajas por enfermedad de los empleados, y la dirección y marketing no.

Cuidado con las transferencias de datos

Puede transferir sus datos fuera de la UE/EEE en virtud del RGPD. Aun así, algunas transferencias son más complicadas que otras. Las transferencias a países cubiertos por una decisión de adecuación son sencillas y no conllevan ninguna carga de cumplimiento, aunque tendrá que asegurarse de que cualquier procesador fiable reciba los datos.

Las cosas se complican cuando no se puede confiar en una decisión de adecuación. No vamos a hablar de las transferencias de datos en detalle, pero en pocas palabras, las transferencias fuera de la UE/EEE conllevan algunas cargas de cumplimiento (como las cláusulas contractuales estándar). Estas cargas no deben enfocarse como un ejercicio de forma: es su deber como responsable del tratamiento de datos garantizar que cualquier mecanismo de transferencia que utilice proporcione suficiente protección en la práctica. Esto puede resultar problemático en países que permiten una vigilancia generalizada, como Estados Unidos. Esta es la cuestión central de los continuos problemas de Google Analytics con las transferencias de datos y el GDPR.

Si tiene curiosidad, puede leer nuestro blog para obtener más información sobre la saga de Google Analytics y las transferencias de datos en general.

Forme a su personal

Mientras que algunas fugas de datos son consecuencia de sofisticados ataques de piratas informáticos, muchas se perpetran a través de phishing, y otras aún son el resultado de errores humanos. Invertir en seguridad técnica es una obviedad para mantener los datos a salvo, pero la formación del personal es igualmente importante. No es necesario convertir a todos los empleados en abogados especializados en privacidad, pero el personal que maneja datos personales debe saber cuándo debe revelarlos y cuándo no. Y, lo que es más importante, deben poder preguntar a un miembro cualificado del personal cuando no estén seguros de qué hacer.

Tener en cuenta los errores humanos

Las personas cometen errores. Hay que tenerlo en cuenta y configurar el tratamiento de datos para minimizar el riesgo de error humano. Pregúntese: ¿qué errores son los más probables en mi empresa? ¿Hay alguna forma de evitarlos?

Por ejemplo: un hospital italiano ha sido multado recientemente por filtrar las direcciones de correo electrónico de cientos de pacientes de neurología. ¿Cómo ocurrió? Un empleado incluyó accidentalmente los correos electrónicos de los pacientes en el campo CC en lugar de CCO al reenviar un boletín (¡ups!). Este tipo de error no es improbable cuando los empleados envían docenas de correos electrónicos al día. La filtración de datos podría haberse evitado configurando el cliente de correo electrónico para que utilizara CCO por defecto y exigiendo un paso adicional (como la confirmación del usuario) para utilizar CC.

Adoptar una política sensata de verificación de DSAR

En virtud del RGPD, un interesado puede solicitar al responsable del tratamiento que le facilite determinada información sobre el tratamiento de sus datos y que le proporcione una copia de los mismos3. Estas solicitudes suelen denominarse solicitudes de acceso de los interesados o DSAR. Los solicitantes insatisfechos a veces presentan una reclamación ante una autoridad de protección de datos, por lo que es importante gestionar las DSAR de forma rápida y adecuada.

Sin embargo, las empresas deben saber que se puede abusar de las DSAR para acceder ilegalmente a los datos de otras personas. En otras palabras, los DSAR falsos son una herramienta de phishing, ¡y muy eficaz! Si caes en la trampa de un DSAR falso, sufrirás una violación de datos, por lo que debes asegurarte de que las solicitudes no proceden de un suplantador.

Al mismo tiempo, las empresas deben tramitar las solicitudes dentro de un plazo4 y, al mismo tiempo, facilitar el ejercicio de los derechos del solicitante5. Conciliar todas estas obligaciones no es sencillo y no existe una solución única. Cada empresa debe encontrar un término medio adecuado en función de su situación específica y de la naturaleza de los datos que maneja. Pero como regla general, debe optar por la verificación menos gravosa e invasiva que sea lo suficientemente fiable en su caso6. Por ejemplo, si recibes un DSAR de alguien que afirma ser un usuario registrado de tu sitio web o empresa, puedes exigirle que reenvíe la solicitud desde el correo electrónico con el que se registró. También puede incluir un botón para reenviar un DSAR en el área personal del usuario en su sitio web (Instagram hace esto, por ejemplo). Lo ideal sería exigir un documento de identidad u otra información personal sólo como último recurso.

Disponga de una política de recuperación de datos en caso de catástrofe

Cuando la gente piensa en violaciones de datos, suele pensar en fugas de datos: situaciones en las que datos personales son vistos o copiados por una parte no autorizada. Sin embargo, la pérdida de datos también se considera una violación de datos según el GDPR7. Esto significa que cualquier política de seguridad de datos debe incluir un plan de recuperación de desastres para sus datos. Idealmente, una organización tendrá una copia de seguridad, ya sea una copia de seguridad física o un servicio de recuperación de desastres basado en la nube.

Procesar menos datos

Ni que decir tiene que cuantos más datos se procesen, más cosas pueden salir mal. Además del coste de funcionamiento y mantenimiento de sus sistemas de procesamiento de datos, el procesamiento de datos tiene costes inherentes en términos de cargas de cumplimiento y riesgos de cumplimiento, y cuanto más complicadas sean sus operaciones de procesamiento, mayores serán esos costes. Siempre debe preguntarse: ¿realmente necesito estos datos, o los estoy recopilando sólo porque todo el mundo en mi sector lo hace?

A veces, utilizar menos datos es la mejor opción. Hay mucho que decir sobre el valor que una mentalidad de minimización de datos puede aportar a su empresa, y ya escribimos sobre ello aquí.

Huelga decir que su empresa también debe adherirse a una política sensata de conservación de datos y borrar los datos que ya no necesita. Hacerlo es tanto un requisito legal en virtud del GDPR8 como una buena práctica para la seguridad de los datos: los datos que no tienes son datos que no puedes filtrar.

Reflexiones finales

Un buen gobierno de los datos y una mentalidad de privacidad pueden aportar valor a su empresa, y confiar en herramientas respetuosas con la privacidad es un gran comienzo. Este es también uno de los pilares sobre los que se construye Simple Analytics. Creemos que puede recopilar información sobre los visitantes de su sitio web sin necesidad de ningún dato personal. Esto le permite obtener la información que necesita, cumpliendo al 100% con la GDPR. Creemos en un Internet independiente que sea amigable con los visitantes del sitio web. Si está de acuerdo, ¡pruébenos!

#1 Art. 30 GDPR [^2]: Art. 82(2) GDPR. El responsable del tratamiento está exento de responsabilidad cuando no ha tenido responsabilidad en la causación del daño (art. 82.3), pero soporta la carga de la prueba, lo que es muy arriesgado en la práctica [^3]: Art. 15 GDPR. [^4]: Art. 12(3) GDPR. [^5]: Art. 12(2) RGPD [^6]: Esta es también la recomendación de la OEPD: véanse las Directrices 01/2022 sobre los derechos de los interesados - Derecho de acceso, apdo. 65. [^7]: Art. 12(3) del RGPD. 65. [^7]: Art. 4(12) RGPD [^8]: Art. 5(1)(e) GDPR.

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días