¿Qué son los datos para una empresa?

Los datos y la información son dos elementos imprescindibles y esenciales para que una empresa sea viable. Es como el sistema linfático para el cuerpo humano y a la vez un cerebro con una información vital.

Brechas de seguridad en Protección de Datos
En la actualidad, y así lo indica la Agencia Española de Protección de Datos, a través de una publicación reciente de un informe de notificaciones de seguridad, se han notificado 88 brechas de seguridad en el pasado mes de enero, entre las cuales el tipo ransomware ha sido el protagonista.

El ransomware es un tipo de malware que encripta los datos del servidor de tal manera que la entidad pierde el control sobre la información y los datos, por lo que la deja sin actividad. Si la entidad quiere volver a emprender la actividad, se le extorsiona y obliga a pagar una recompensa si quiere recuperar sus datos.

Así, podemos afirmar que la base de datos es el patrimonio de una empresa, pues si no tenemos acceso a los datos de nuestros clientes, entre otros muchos; no podemos seguir con la actividad.

En esta línea, entre todas las obligaciones que establece el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos); así como Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales cabe poner de manifiesto la realización del análisis de riesgos. Dicho análisis sirve para establecer las medidas de seguridad adecuadas al riesgo de los tratamientos efectuados por la organización.

¿Cómo analizar los riesgos a los que se expone tu empresa?

Para poder analizarlos debemos empezar por saber a qué riesgos se enfrenta la organización.

Debemos realizar un “Análisis de Riesgos”.

El primer paso consiste en reflejar de la forma más fidedigna posible los tratamientos de datos realizados por la organización, así como los intervinientes, los medios y demás detalles del tratamiento.

Tal como se indica en la Guía práctica de Análisis de Riesgos en los tratamientos de datos Personales sujetos al RGPD la descripción de los tratamientos sujetos al análisis de riesgos, permite obtener un conocimiento del ciclo de vida de los datos, de las actividades realizadas y de cualquier elemento que interviene en las mismas. Asimismo, el clico de vida de los datos se puede dividir en las varias etapas:

Captura de datos:

Proceso de obtención de datos para su almacenamiento y posterior procesado.

Dentro de esta categoría se pueden encontrar diversas técnicas:

  • formularios web,
  • formularios en papel,
  • toma de muestras y realización de encuestas,
  • grabaciones de audio y video,
  • redes sociales,
  • captación mediante sensores, etc.

Clasificación / Almacenamiento:

Establecer categorías y asignarlas a los datos para su clasificación y almacenamiento en los sistemas o archivos.

Uso / Tratamiento:

Operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos de los datos automatizados o manuales.

Cesión o transferencia de los datos a un tercero para su tratamiento:

Traspaso o comunicación de datos realizada a un tercero, definido como aquella persona física o jurídica, pública o privada u órgano administrativo. Este concepto es muy amplio, puesto que recoge tanto la entrega, comunicación, consulta, interconexión, transferencia, difusión o cualquier otra forma de acceso a los datos.

Destrucción:

Eliminar los datos que puedan estar contenidos en los sistemas o archivos, de manera que no puedan ser recuperados de los soportes de almacenamiento.

¿Qué elementos están involucrados en cada una de las etapas?

En cada una de las etapas del ciclo de vida de los datos en las actividades de tratamiento intervienen una serie de elementos que resultan comunes a todas ellas y que se pueden clasificar en las siguientes categorías:

Actividades u Operaciones de tratamiento sobre los datos de carácter personal:

Puede considerarse una actividad u operación, el almacenamiento de datos en una base de datos, la manipulación de la información para la obtención de decisiones o cualquier tarea que requiera el tratamiento o manipulación de los datos y que forme parte de un tratamiento que tiene una finalidad concreta y que define uno de los objetivos o actuaciones que la organización debe realizar sobre los datos de carácter personal.

Datos:

Los datos forman parte de cada una de las actividades u operaciones de la entidad; es por ello que se deberá identificar, en cada etapa, la categoría de datos personales que se tratan.

Intervinientes:

A lo largo del ciclo de vida de los datos pueden existir numerosos intervinientes que participen en cada una de las actividades de tratamiento; como por ejemplo el personal de la entidad o empresas externas que para la prestación del servicio tienen acceso a datos de carácter personal de la entidad. Debemos señalar que la participación concreta de cada interviniente puede llegar a suponer una amenaza sobre los datos; por lo que esta circunstancia deberá ser tenida en cuenta en el proceso de análisis de riesgos.

Tecnología:

Es importante identificar las distintas tecnologías implicadas en las actividades de tratamiento (tanto hardware –aplicaciones, programas…- como software –dispositivos-.), implicadas en el tratamiento de los datos de carácter personal y verificar su seguridad, así como detectar los posibles riesgos.

Conclusión

Así pues, el Análisis de Riesgos es un documento que recoge, a modo de informe, las medidas jurídicas, técnicas y organizativas que la empresa aplica; así como identifica y programa las medidas de revisión o correctoras que se tendrán que llevar a cabo en el futuro.

Cabe destacar que el Análisis de Riesgos no tiene por qué eliminar completamente los riesgos que se han podido derivar del mismo, sino reducirlo; ya que un riesgo no se puede eliminar por completo. Existe el riesgo residual – riesgo que habiendo aplicado las medidas organizativas, técnicas y jurídicas siempre va a existir un nivel de riesgo, aunque sea en un grado menor.

Déjanos tu mensaje y nos pondremos en contacto contigo lo antes posible

    Acepto la Política de Privacidad.

    Autorizo recibir ofertas y promociones, así como otra información comercial y de interés del grupo de empresas de Tarinas.

    Contacto

    También puedes contactar con nosotros por teléfono, email y redes sociales.

    93 11 55 111
    93 766 06 52
    67 22 12345
    tarinas@tarinas.com