La importancia de proteger los datos personales en Internet

Cualquier empresa, profesional o entidad que trate datos de carácter personal está obligado a cumplir los requisitos exigidos por la LOPD.

La pregunta sobre qué haríamos sin Internet duele con tan solo pensarla. Imagina cómo se transformarían nuestras vidas si Internet ya no existiera mañana al despertarnos. Para empezar, tú no estarías leyendo esta publicación y yo no estaría escribiendo aquí.

Pero quizás lo peor de todo sería que seguramente ni siquiera pudiésemos trabajar: nada de correos electrónicos o de gestiones online, adiós a toda la información que acumulamos en la nube e incluso a buscar cualquier tipo de información. Recuerda que ya hicimos otro artículo mencionando 3 herramientas para cumplir con la ley de protección de datos en este blog.

La importancia de proteger los datos personales en Internet

© putilov_denis – Fotolia.com

Importancia de Internet para las empresas

Desde el momento en que surge Internet, la manera de hacer negocios ha cambiado por completo. Actualmente toda la información transita por la Red. Gracias a esto podemos comunicarnos con clientes y proveedores. También a través de ella efectuamos todo tipo de gestiones económicas y hasta de infraestructura logística de la empresa. Y eso, por no hablar de las compañías que existen única y exclusivamente porque existe Internet.

¿Alguna vez te has preguntado por qué debe estar tu negocio en Internet y en las redes sociales? La respuesta es muy simple: para obtener más beneficios y más ventas. Esto, en datos, supone acceder en España a más de 15 millones de potenciales clientes.

Motivos para estar en las redes sociales e Internet

Te cuento los principales motivos para crear un perfil de tu empresa en las redes sociales:

  • Abrir nuevas oportunidades de negocio
  • Cubrir la demanda de los clientes
  • Ahorro de tiempo y dinero
  • Acceder a información sobre hábitos y preferencias de los clientes
  • Proporcionar más visibilidad y transparencia a la empresa
  • Posibilidad de gestión y comunicación desde cualquier lugar

Por tanto, para crear una página web de nuestra empresa o un perfil en las redes sociales, a parte de tener en cuenta cuestiones de diseño, SEO y posicionamiento, debemos considerar otras cuestiones como la necesidad de establecer medidas de seguridad para evitar ataques y proteger nuestra privacidad y la información que manejamos.

Peligros de las redes sociales

No todo en Internet es de color de rosa, exponernos en Internet o en las redes sociales tiene también sus peligros entre los que cabe destacar:

  • Ataques a través de malware o códigos maliciosos que propagan toda clase de amenazas informáticas mediante la difusión de un mensaje entre los usuarios de esa red social que contiene un enlace con un archivo dañino.
  • Privacidad y robo de identidad: el hecho de publicar en las redes más información de la necesaria hace vulnerable nuestra privacidad. Cuando se publican situaciones laborales, conflictos con compañeros o jefes, información sobre clientes, asuntos de reuniones, y otros datos confidenciales de la empresa que pueden afectar la integridad de la misma. Igual ocurre en casos de robo de identidad donde el hecho de que afecte a un trabajador también supone un riesgo elevado para la empresa; por lo que evitar la exhibición de información delicada es la principal medida de protección existente.
  • Fuga de información y reputación de la empresa: la divulgación de opiniones negativas sobre nuestra empresa da lugar a una mala imagen y afecta a la reputación de la misma.

¿Cómo cumplir la LOPD en redes sociales?

Cualquier empresa, profesional o entidad que trate datos de carácter personal propiedad de personas físicas está obligado a cumplir los requisitos exigidos por la Ley de Protección de Datos. Tanto si tenemos una página web como un perfil en las redes sociales estamos manejando datos de clientes, empleados, proveedores… y necesitamos adaptarnos a esta normativa.

Requisitos para cumplir la LOPD

A continuación explicamos los trámites o pasos a seguir para que tu empresa cumpla la normativa LOPD

Alta de ficheros en la Agencia Española de Protección de Datos

Debemos inscribir todos los ficheros que manejamos con datos personales (clientes, empleados, etc.)

Elaborar un Documento de Seguridad

Debemos tener en nuestra empresa un Documento de Seguridad en el que incluimos todas las medidas de carácter técnico y organizativo para garantizar la protección de los datos de carácter personal que manejamos.

El documento de seguridad debe incluir, según la LOPD:

  • Ámbito de aplicación del documento con especificación precisa de los datos protegidos.
  • Medidas, reglas, procesos y estándares dirigidos a respaldar el nivel de seguridad requerido.
  • Funciones y responsabilidad del personal.
  • Organización de los ficheros con datos de carácter personal y explicación de los servicios de información que los tratan.
  • Procedimiento de notificación, administración y solución ante las incidencias.
  • Los mecanismos para realizar copias de respaldo y de recuperación de los datos.

Contratos con terceros

Siempre que un actor externo (sea un asesor, una empresa de telemarketing o de email marketing, un hosting, etc…) gestiona datos personales a petición nuestra deberemos poseer un contrato de tratamiento de datos en el que se detallen claramente las directrices del responsable del fichero, según se indica en el artículo 12 de la LOPD.

Política de privacidad para empleados

Los conflictos con empleados son uno de los supuestos que más reclamaciones originan ante la Agencia Española de Protección de Datos (AEPD), por lo que es muy importante tener definidas expresamente las guías de actuación de estos sobre sus propios datos y los de la empresa que tengan que manipular.

Aviso legal, política de privacidad y de cookies

Para hablar de este tema hay que diferenciar varios supuestos:

  • Si nuestro negocio tiene de una página web sencilla en la que sólo informamosde nuestros productos o servicios pero no existe un formulario en el cual los usuarios puedan enviarnos sus datos ni realizar pedidos de compra o solicitudes de contratación de servicios debemos incluir un apartado visible llamada “Aviso Legal” en el que expresaremos la denominación o razón social del titular de la web, DNI o CIF, dirección completa, correo electrónico y teléfono de contacto, datos de inscripción en el Registro Mercantil o de autorización administrativa, en caso de que la empresa esté obligada a ello.
  • Si en la web incluimos también un formulario de contacto tenemos que avisar a los usuarios sobre la recogida de sus datos personales, de la finalidad para la que se recogen, la identidad del responsable del fichero o tratamiento y de la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición.
  • En el supuesto de que usemos cookiesen nuestra web para rastrear las visitas efectuadas a nuestra página debemos precisarlo en la sección “Aviso Legal” con un texto similar al siguiente: “Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad asociada con sus preferencias a través del estudio de sus costumbres de navegación. Si sigue navegando, consideramos que consiente su uso. Puede cambiar la configuración u obtener más información ‘aquí’”.
  • Por último, si vendemos a través de la web, es decir, si tenemos una tienda online es obligatorio informar acerca de los precios, plazos y políticas de entrega, medios de pago y cláusulas específicas, política y plazo de devoluciones y derecho de desistimiento (que es posible ejercerlo normalmente durante los siete días siguientes a la compra).

¿Qué hago para evitar ataques en la red o fugas de información?

En el mundo digital en el que vivimos el prestigio de una empresa puede establecerse o desmoronarse a un clic en Internet.

Las brechas de seguridad son un auténtico problema, sobre todo cuando datos confidenciales llegan a manos ajenas, originándose no sólo un grave percance de seguridad para la compañía sino también un fuerte ataque a su fama. Así, grandes empresas han sufrido ataques en sus sistemas que les han ocasionado importantes pérdidas, tanto económicas como de imagen corporativa. De esto no se ha salvado ni la NASA.

Las empresas deben considerar la seguridad como objetivo principal para impedir y evitar estos ataques, pero también para garantizar a los clientes la seguridad y tranquilidad de que sus datos, dinero y propiedades intelectuales están en buenas manos, dentro y fuera de la red corporativa.

Para tener una correcta política de seguridad de la información es necesario abarcar tres aspectos: personas, procesos y tecnología. Las empresas invierten generalmente en tecnología, pero ésta por sí sola no nos resultará suficiente. Los beneficios que la tecnología nos aporta no nos servirán para nada sin una adecuada seguridad. Por ello, es obligatorio implantar unas políticas de seguridad y unas conductas responsables. Debemos educar a nuestros empleados para que sean conscientes y adopten compromisos en cuanto a la seguridad de su compañía se refiere.

Medidas para garantizar la seguridad de la información

  • Registrar los riesgos de contenidos conocidos es esencial, por eso es importante tener herramientas apropiadas para analizar la red, detectar riesgos y que puedan encontrar todos los datos confidenciales, ya sea en servidores, equipos fijos u otras ubicaciones.
  • Educar al personal es una protección eficaz que empieza por el conocimiento y comprensión de los datos que son relevantes para cada empleado. Es urgente involucrarlos desde el primer día y monitorizar los tipos de datos que origina y utiliza su área, así como saber quiénes son los responsables de tratar los distintos tipos de información.
  • Saber dónde se encuentran los datos, ya que es importante conocer quién puede acceder a todos estos sistemas y dispositivos personales, para así reducir el riesgo de fuga. Si esta se produce, es esencial disponer de un control total, desde donde se almacena la información, hasta quien puede acceder a ella. Por ello es imprescindible conocer toda la documentación confidencial propia que se utiliza tanto dentro como fuera de su empresa.
  • Instaurar medios de alerta y aplicación que dirijan avisos a los administradores de TI y demás involucrados. Estos mecanismos pueden ir desde simples comunicaciones por e-mail sobre brechas en la privacidad, hasta herramientas más proactivas que obliguen a pasar los mensajes de correo electrónico con contenido confidencial por servidores de cifrado antes de que salgan de la empresa.
  • Especificar controles, estableciendo un flujo de trabajo para gestionar incidentes, con el fin de garantizar que los datos confidenciales que dieron lugar al incidente estén protegidos y que únicamente pueden acceder a ellos un grupo determinado de usuarios y administradores con autorización.
  • Optar por un enfoque basado en el análisis continuo, con la finalidad de disponer de una administración centralizada para reducir riesgos, disminuir costos y lograr un trabajo más eficiente.
  • Inspeccionar todos los dispositivos usados en el trabajo (fijos y móviles) que se estén manipulando en su empresa, proporcionándoles las medidas de seguridad necesarias para impedir cualquier ciberataque o fuga de información.
  • Utilizar herramientas tecnológicas como un buen antivirus, IRM y DLP de última generación, con la finalidad de poseer el control de su información decidiendo y conociendo en todo momento quién accede a sus documentos.
  • Usar contraseñas fuertes para proteger información confidencial de su empresa, teniendo siempre en cuenta el cambio periódico de ellas.

 

Ana GonzálezAna González del Río es editora y administradora del Blog Ayudaleyprotecciondatos. Licenciada en Derecho, Máster en Seguridad de la Información. Ha realizado labores de gestión y administración en varias empresas de telecomunicaciones aparte de algunas colaboraciones en publicaciones históricas y culturales, hasta que me encontré con el sector de la protección de datos y me entusiasmó.