Por qué debemos cifrar datos para el cumplimiento de la RGPD

/in /by

La seguridad de los datos en la RGPD refuerza la necesidad de garantizar la confidencialidad, así como la seguridad del dato personal a través del cifrado, minimización de datos, backup continuo y capacidad de resiliencia del sistema ante ciberataques.

Encriptar los datos supondría una mitigación efectiva de un riesgo real; esto se convierte en una obligación para una pequeña o gran empresa que maneje datos de carácter especial, ya que el artículo 9 de RGPD indica que los datos sensibles merecen protección especial, ya sea por su naturaleza o por su relación con los derechos y libertades. De no realizar el encriptado, se considerará una imprudencia y se correrá el riesgo de ser sancionado.

¿Qué datos son calificados como sensibles o especiales establecidos en el RGPD?

La RGPD establece en el Ártículo 9, que los datos especialmente protegidos por la normativa de protección de datos son los siguientes:

  • Origen racial o étnico
  • Ideologías tales como las opiniones políticas
  • Creencias religiosas o filosóficas
  • Afiliación sindical
  • Datos biométricos con el objetivo de identificar de manera exclusiva a un individuo o persona física.
  • Datos relativos a la salud o la vida sexual y/o la orientación sexual
  • Datos genéticos

La responsabilidad de la empresa y del encargado del tratamiento de datos es mantener los datos de carácter especial de manera segura tal como lo indica el Artículo 32 de la RGPD, ya sea utilizando la seudonimización o el cifrado.

La seudonimización enmascara los datos reemplazando la información con identificadores artificiales; esto reduce el riesgo ante una brecha de seguridad, pero tiene sus límites, ya que el que tenga o logre tener acceso a los datos, puede ver parte de los mismos.

El Cifrado de los datos tiene una repercusión muy positiva para el cumplimiento de la RGPD, ya que garantiza la seguridad de los datos; en el caso de que se produzca una brecha de seguridad se considera que la protección se mantiene a pesar de la pérdida de datos. Los datos encriptados son inservibles para terceras personas ya que no podrían hacer uso de ellos. Esto reduce el riesgo a sanciones y no sería necesario notificarlo a la Agencia Española de Protección de Datos (AEPD).

En el Artículo 34.3.a de RGPD se establece que, si los datos están encriptados y se produce una brecha de seguridad, no se tendría la obligación de notificar a los afectados, puesto que los datos son ilegibles e inservibles para los ciberdelincuentes.

Como conclusión podemos decir que el cumplimiento del RGPD es lo más importante para evitar riesgos y sanciones a la empresa. Existen diversas herramientas que se pueden aplicar; la elección de qué herramientas elegir y el método, ya sea por cifrado o seudonimización, es responsabilidad del encargado del tratamiento de los datos.

Si quiere adecuar su empresa al reglamento RGPD, evitar multas y mejorar su tratamiento de datos, no dude en contactar con Hard2bit. Nuestros expertos podrán apoyarle durante todo el proceso.