En WeLiveSecurity hemos abordado con anterioridad la importancia de la protección de datos personales, como resultado de distintas iniciativas y legislaciones que buscan mantener la confidencialidad de la información.
Sin embargo, los reglamentos y leyes enfocadas a este propósito deben ser adoptados por las organizaciones que procesan, almacena o transmiten la información de sus usuarios. En este contexto, el cumplimiento a los requisitos de seguridad puede llevarse a cabo de manera coordinada y organizada a través una estrategia de mayor alcance con la implementación de un Sistema de Gestión de Datos Personales (SGDP).
Gestión de la seguridad de la mano para la protección de datos personales
En el ámbito de la protección de datos personales, desde el enfoque de las organizaciones resulta necesario apegarse a los reglamentos derivados de las legislaciones. El cumplimiento a través de elementos aislados puede no ser la mejor forma de afrontar los riesgos de seguridad que se encuentran cambiando continuamente, por lo que la implementación de un sistema de gestión resulta prudente en un ambiente dinámico.
En este sentido, la gestión de los datos personales puede seguir un proceso similar a la gestión de la seguridad de la información dentro de las organizaciones. Allí se organiza un proceso holístico, transversal y de mejora permanente, generalmente mediante un Sistema de Gestión de Seguridad de la Información (SGSI),
De la misma forma en la cual se pretende gestionar la seguridad de la información dentro de las organizaciones a través de un proceso holístico, transversal y de mejora permanente, generalmente mediante un , las empresas que deben alinearse de forma obligatoria con requisitos, pueden cumplir a partir de un proceso similar.
Por ello, la aplicación de un Sistema de Gestión de Datos Personales (SGDP) se convierte en una estrategia para hacer frente a los riesgos de seguridad y las amenazas informáticas que pueden atentar contra la confidencialidad, integridad o disponibilidad de los datos personales, además de otras propiedades de la información que deban cumplirse.
Si bien en la actualidad existe una diversidad de marcos de referencia para la seguridad de la información, ISO 27001 continúa siendo un estándar utilizado internacionalmente con este propósito. Por ello, se utiliza como un punto de partida para establecer el SGDP. Aunque en la actualidad no se menciona de forma explícita un modelo de mejora continua, el ciclo de Deming sigue siendo una referencia.
Por lo tanto, la gestión de datos personales puede incluirse como un elemento más dentro de un SGSI en caso de que la organización ya cuente con los mecanismos de protección a través de un sistema de gestión. También puede tratarse del punto de partida para comenzar a aplicar medidas de seguridad para los datos personales y otro tipo de información sensible.
Elementos, etapas y actividades en un SGDP
1. Planear y establecer
La primera fase se desarrolla a partir de definir los elementos necesarios para la operación del SGDP. De manera similar a un SGSI, resulta relevante contar con el alcance de la protección de datos, un documento formal donde se plasme el compromiso en este sentido, la definición de roles y responsabilidades para dar cumplimiento a los requisitos establecidos en las legislaciones. Además, se recomienda contar con un inventario de los datos y posteriormente aplicar algún método para el análisis y evaluación de riesgos de seguridad. Posteriormente, es necesario definir las medidas de protección, de manera similar a una Declaración de Aplicabilidad.
2. Implementar y operar
La segunda fase se enfoca en la implementación de controles definidos para los riesgos identificados en la etapa anterior. A la vez, se debe desarrollar y ejecutar un plan de tratamiento de riesgos, con las diferentes opciones, así como la correspondiente aceptación y comunicación de riesgos residuales.
3. Monitorear y revisar
La tercera fase tiene como propósito revisar la operación del SGDP, así como su idoneidad y vigencia, especialmente si existen modificaciones en cuanto a los requisitos en las legislaciones, incidentes registrados, cambios en las políticas u objetivos de la organización. Las auditorías de seguridad son un elemento esencial en esta etapa, de manera similar a las que se realizan para un SGSI.
4. Mantener y mejorar
Con base en los resultados de la fase anterior, se deben tomar decisiones para realizar cambios, mejorar o mantener el SGDP, a través de acciones correctivas y otro tipo de iniciativas, como la capacitación del personal involucrado.
Protección de datos a través de elementos planeados y coordinados
En definitiva, el propósito de gestionar la protección de datos personales a través de un SGDP es contar con elementos planeados, organizados y coordinados para hacer frente a los incidentes de seguridad que podrían atentar contra la información de los usuarios. Si dentro de una organización ya se cuenta con un SGSI, las actividades pueden incluirse como actividades del mismo.
Por el contrario, si no se cuenta con un SGSI, podría tratarse de un primer paso para comenzar a gestionar los datos personales y, posteriormente, aplicar este enfoque para la seguridad sobre otro tipo de información sensible propia de la organización.
