cifrado-GDPR

Cuándo es necesario cifrar los datos

Cifrar los datos para cumplir con el GDPR

El cifrado de los datos es una práctica que consiste en codificar los datos para modificar su formato original y que no sea posible leerlos. Éste es uno de los conceptos que ha introducido el Reglamento General de Protección de Datos (GDPR) pero, aunque sea aconsejable en muchos casos y pueda aplicarse también voluntariamente, solo hay algunos escenarios en los que este cifrado de la información es obligatorio. Vamos a exponer a continuación cuáles son estos casos:

  • Obligatoriedad en cada país. Además de las directrices generales marcadas por el GDPR, cada estado establece determinadas categorías de datos para cuyo tratamiento se requiere la utilización de sistemas de cifrado. En España, por ejemplo, es obligatorio cifrar los datos de nivel alto, entre los que se encuentran los relativos al origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical.
  • Códigos de conducta. El cifrado es obligatorio si las empresas se han adherido voluntariamente a un código de conducta que exige el cifrado o si es requisito indispensable en certificaciones que poseen.
  • Aconsejada por la evaluación de impacto. Si las conclusiones de la evaluación de impacto realizada aconsejan medidas adicionales de seguridad, también estarán las organizaciones obligadas cifrar los datos personales.
  • Tratamiento distinto a aquél para el que se recogieron. Cuando el tratamiento al que fueran a someterse los datos personales sea distinto de aquél para el que se recogieron y no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros, el GDPR indica que deberán establecerse garantías adecuadas, entre las que se encuentran el cifrado o la seudonimización.
  • Para mitigar un alto riesgo. Toda empresa está obligada a cifrar los datos que trata cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, siempre que la solución de cifrado sea la medida más razonable para mitigar el riesgo, según la evaluación de impacto realizada.

¿En qué supuestos es, entonces, necesario realizar una evaluación de impacto para valorar los posibles riesgos del tratamiento de los datos? El GDPR establece que la evaluación de impacto es obligatoria en el caso de que la empresa vaya a realizar una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar; cuando vaya a llevar a cabo un tratamiento a gran escala de las categorías especiales de datos o de los datos personales relativos a condenas e infracciones penales; o si va a realizar tareas de observación sistemática a gran escala de una zona de acceso público.

Por otro lado, no hay que perder de vista que el extra de seguridad que aporta al tratamiento el cifrado de los datos, exime al Responsable del Tratamiento de la obligación de comunicar a la Autoridad de Control cualquier violación de la seguridad de los datos.

La adecuación de una organización a la normativa vigente en materia de protección de datos requiere el asesoramiento de un consultor especializado en privacidad. Sin embargo, también existen soluciones tecnológicas que pueden ayudar a las empresas a cumplir con los requerimientos del GDPR, como ya hemos comentado en artículos anteriores. Entre ellas, se encuentra la implantación de un gestor documental, que aporta ventajas como:

  • La información solo existe en formato digital, por lo que puede encontrarse con facilidad y no es posible duplicarla accidentalmente
  • Solo los usuarios autorizados pueden acceder a los archivos, siendo posible, además, configurar quién puede archivar, recuperar, editar, exportar, modificar o eliminar documentos
  • Los documentos que contengan datos personales no pueden ser enviados o transferidos sin autorización expresa
  • Es posible establecer reglas sobre retención y borrado de archivos, para asegurar que los datos no se conservan durante más tiempo del necesario
  • Permite controlar las versiones, de manera que todas las modificaciones realizadas sobre un documento quedan registradas automáticamente
  • Las auditorías son rápidas y sencillas, para poder comprobar que solo acceden los usuarios autorizados y que se mantienen registros de los diferentes tratamientos de datos.

Nuestra solución de gestión documental, Docuware, en su nueva versión Enterprise, incorpora el cifrado de documentos por defecto, garantizando así la total seguridad de los datos y el cumplimiento de la normativa para aquellas empresas obligadas a establecer esta medida de seguridad.

Así pues, con DocuWare todos los documentos se archivan con AES, el estándar de cifrado americano para documentos con el nivel más alto de acreditación, y los archivos pasan por TLS 1.3 y HTTPS, por lo que las comunicaciones de datos entre servidores también están protegidas.

Si quieres más información sobre nuestras soluciones de gestión documental con cifrado de la información, ponte en contacto con nosotros y uno de nuestros consultores analizará tu caso para ofrecerte un asesoramiento personalizado.

Más información sobre el cifrado de la información aquí.

Sin comentarios

Publicar un comentario