De los elementos más importantes en toda estrategia para la protección de los datos personales son las medidas de seguridad seleccionadas e implementadas, dado que a través de estos controles ya sean físicos, técnicos o administrativos se podrán prevenir y atender los diferentes riesgos que pretendan afectar la confidencialidad, integridad y disponibilidad de los datos personales.
Una selección adecuada de estas medidas permitirá a la organización un mejor aprovechamiento de sus recursos humanos, tecnológicos y físicos, dado que tendrá una mejor visión y justificación para cada una de las medidas de seguridad seleccionadas.
A continuación, te presento algunos elementos que pueden ayudarte a identificar que medidas de seguridad serán necesarias para la protección de los datos personales que tu organización trata:
a) Riesgo inherente por tipo de dato personal: considera el valor que estos datos tienen para el titular, los responsables o cualquier persona no autorizada y que a través de éstos pueda obtener un beneficio, de tal forma que un responsable puede identificar este riesgo considerando los tipos de datos personales que trata, su sensibilidad y el número de titulares.
b) Sensibilidad de los datos personales tratados: existen datos que por su naturaleza tienen un nivel de sensibilidad mayor, datos de este tipo por ejemplo son los datos personales sensibles, que afectan a la esfera más íntima del titular, o cuya utilización indebida puede dar origen a discriminación o conlleve un riesgo grave para éste, tal es el caso de los datos de origen racial o étnico, sobre el estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual, entre otros que pudieran ser por el contexto en el que se da el tratamiento, considerados como datos personales sensibles.
c) Desarrollo tecnológico: la tecnología avanza a pasos acelerados por lo que es importante considerar las nuevas tecnologías y las implicaciones en el tratamiento de datos personales que puedan realizar así como, las nuevas amenazas asociadas a estas novedades tecnológicas y en función de ello definir o actualizar las medidas de seguridad.
d) Las consecuencias de una vulneración para los titulares: uno de los elementos que siempre se deben tener presente al definir cualquier medida de seguridad, es la protección de los datos personales de los titulares como un primer objetivo, dado que es una forma de corresponder a la confianza que éstos han depositado en tu organización para tratar sus datos, de tal forma que a través de los diferentes controles que se implementen debe buscarse evitar cualquier acción que pueda detonar una vulneración a la seguridad de los datos personales.
De forma adicional se puede considerar:
- El número de titulares.
- Vulnerabilidades previas.
- El riesgo por el valor potencial cuantitativo o cualitativo.
- Otros factores que por la naturaleza o contexto del tratamiento deban ser considerados.
Existen estándares, guías, recomendaciones, códigos de buenas prácticas, marcos de referencia que pueden ayudarte a definir las medidas de seguridad que para la protección de los datos personales puedes implementar, algunos de los principales te los comparto a continuación:
Guía para implementar un SGSDP- INAI
Guidance and gaps analysis for European standardisation-ENISA 2019
NIST Privacy Framework –ISO/IEC 27701
Miriam Padilla Espinosa
MBA, Ing en Computación orgullosamente UNAM, apasionada de los datos personales, seguridad de la información y TIC -Todos los artículos son a título personal.
https://www.linkedin.com/in/mpadillaespinosa
Ponte en contacto conmigo.