Las normas de referencia del Reglamento General de Protección de Datos, abarca la información privada registrada y no la información privada doméstica.
Será muy recomendable contratar expertos para determinar el marco jurídico y técnico que determina el éxito del análisis de riesgos, en nuestro caso contamos en el grupo con una compañía especializada en ello: Dentro de nuestro grupo, la empresa encargada de estas tareas es la consultora DPOSA
En este sentido, debemos considerar dentro de las normas, la información personal como direcciones de calles y propiedades, titularidad de las propiedades, relaciones de trabajo formalizadas, contratos firmados, cuentas bancarias, registros de salud, intervenciones judiciales, antecedentes judiciales, entre otros.
Las normas no incluyen autoridad sobre información personal de naturaleza doméstica, por ejemplo, si la persona utiliza o no su propia dirección para invitar personas a su casa (actividad privada excluyente).
Adicionalmente, las normas indican autoridad sobre la utilización de la información en un contexto comercial o empresarial y no necesariamente con fines de lucro.
Medidas de seguridad
Las medidas de seguridad evaluadas en las auditorías, abarcan tanto los sistemas automatizados, como todas las acciones manuales.
En ciertas actividades de naturaleza esencialmente riesgosa, como son las plataformas bancarias o las actividades en línea de instituciones financieras, las medidas de seguridad son más exigentes.
Por ello, el análisis de riesgos permite tomar medidas de seguridad, antes de llegar a instancias de auditoria.
Medidas de seguridad generales
Estas son una serie de medidas de seguridad generales, que pueden funcionar en cualquier sistema de seguridad de protección de datos corporativo. Incluye:
- Limitar el personal con acceso a la información
- Utilizar software que limite la conexión de Internet al personal
- Invertir en un software para el cifrado de datos
- Evitar el almacenamiento de datos si no es necesario
- Evitar el tránsito de datos entre el personal
- Controlar el ingreso de dispositivos personales a las plantas de trabajo
Estas medidas no están pensadas para ningún tipo de actividad empresarial en particular, pero sin dudas todas son excelentes iniciativas para incrementar la protección de datos en un área de trabajo.
El análisis de riesgos permite generar medidas particulares más efectivas, para la mejor protección de datos y la certificación de la auditoría.
Personal implicado
El personal involucrado en las actividades, es considerado dentro de los controladores de seguridad física y ambiental, además está dentro de los recursos humanos.
Y es que el error humano es el principal riesgo por el cual, muchas veces los datos son filtrados.
Las auditorías hacen énfasis en la calidad del control del personal, ya que este es considerado uno de los factores de riesgos más importantes para la protección de los datos.
Otro de los parámetros de seguridad más importantes para la protección de datos, es la limitación del personal y el control del uso de la información por parte de los empleados.
Los límites en las telecomunicaciones, adicionalmente, agrega más protección dentro de la seguridad ambiental.
Externalización del servicio
La prestación de servicios para el análisis de riesgos RGPD, es una actividad que va en auge. Además, muchas actividades de seguridad pueden ser controladas de forma digitalizada sin límites territoriales.
Es cada vez mayor el mercado de empresas de gran escala, que requiere servicios de control de determinadas actividades.
La externalización del servicio es una excelente opción de trabajo en todo tipo de empresas, pero requiere de un servicio confiable y certificado por las entidades de control.
Riesgos técnicos y riesgos organizativos
El Reglamento General de Protección de Datos, tiene un consenso a nivel internacional dentro de las Normas de la Unión Europea y un consenso dentro de la Ley Orgánica Española.
Estos 2 status implican que la falta de cumplimiento del reglamento, tiene consecuencias penales a nivel del estado y a nivel internacional.
Por ello, no es posible prestar servicios si la empresa no cuenta con las certificaciones y homologaciones adquiridas a partir de las auditorias y dentro de la reglamentación existente.