{"id":26138,"date":"2023-04-03T08:12:50","date_gmt":"2023-04-03T14:12:50","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=26138"},"modified":"2023-04-03T08:12:50","modified_gmt":"2023-04-03T14:12:50","slug":"pii-gathering-advice","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/pii-gathering-advice\/26138\/","title":{"rendered":"C\u00f3mo manipular datos personales con seguridad"},"content":{"rendered":"<p>Cada vez son m\u00e1s los gobiernos reforzando las leyes que regulan la manipulaci\u00f3n de datos personales, mientras que la cantidad de filtraciones sigue creciendo a\u00f1o tras a\u00f1o. Por ello, si hace unos diez a\u00f1os las p\u00e9rdidas financieras m\u00e1s importantes que pod\u00eda sufrir una empresa eran a causa de las demandas judiciales y los da\u00f1os a su reputaci\u00f3n, ahora cobran protagonismo las sanciones de los reguladores, que pueden representar una parte importante de los da\u00f1os de la empresa como resultado de un incidente de p\u00e9rdida de datos. Ante esta situaci\u00f3n, hemos decidido publicar una serie de consejos que te ayudar\u00e1n a organizar procesos seguros para recopilar, almacenar y transferir informaci\u00f3n de identificaci\u00f3n personal en tu empresa.<\/p>\n<h2>La recopilaci\u00f3n de datos personales<\/h2>\n<p>Lo primero y m\u00e1s importante: recopila datos solo si tienes motivos legales suficientes para hacerlo. La recopilaci\u00f3n de datos puede estar prevista formalmente por la ley del pa\u00eds en el que opera tu empresa, un contrato con t\u00e9rminos que permiten claramente el procesamiento de informaci\u00f3n personal de identificaci\u00f3n (PII) o un consentimiento expresado por un sujeto PII en formato electr\u00f3nico o papel. Adem\u00e1s:<\/p>\n<ul>\n<li>guarda las pruebas del consentimiento obtenido para el procesamiento y almacenamiento de PII en caso de demandas o inspecciones;<\/li>\n<li>no recopiles datos que no sean realmente necesarios para tus procesos de trabajo; los datos no se deben recopilar \u201cpor si acaso\u201d);<\/li>\n<li>si se recopilan datos que no son necesarios para el trabajo debido a alg\u00fan error o malentendido, elim\u00ednalos de inmediato.<\/li>\n<\/ul>\n<h2>El almacenamiento de datos personales<\/h2>\n<p>Si recopilas datos personales, es muy importante que sepas d\u00f3nde almacenarlos, qui\u00e9n puede tener acceso a ellos y c\u00f3mo se procesan. Para ello, es posible que debas crear una especie de \u201cmapa\u201d donde se registren todos los procesos relacionados con la PII. Entonces, ser\u00e1 recomendable desarrollar regulaciones estrictas para el almacenamiento y procesamiento de datos, y monitorizar constantemente la implementaci\u00f3n de ambos. Tambi\u00e9n aconsejamos lo siguiente:<\/p>\n<ul>\n<li>Almacenar la PII exclusivamente en medios inaccesibles para los intrusos.<\/li>\n<li>Limitar el acceso a la PII a un n\u00famero m\u00ednimo de empleados: solo debe estar disponible para aquellos que realmente la necesitan por motivos laborales.<\/li>\n<li>Eliminar de inmediato los datos personales que ya no se requieren para los procesos corporativos.<\/li>\n<li>Si el flujo de trabajo requiere el almacenamiento de documentaci\u00f3n en papel, solo deben guardarse en lugares seguros como, por ejemplo, una caja fuerte con cerradura.<\/li>\n<li>Los documentos en papel que no sean necesarios deben destruirse con trituradoras.<\/li>\n<li>Si los datos no son necesarios tal como est\u00e1n, anonim\u00edzalos. De esta forma, quedar\u00e1n desprovistos de identificadores \u00fanicos para que, incluso en caso de filtraci\u00f3n, resulte imposible identificar al sujeto.<\/li>\n<li>Si no es posible anonimizar los datos debido a tus procesos corporativos, debes pseudo-anonimizarlos: convertir la PII en una cadena \u00fanica para que la identificaci\u00f3n del sujeto resulte imposible sin informaci\u00f3n adicional.<\/li>\n<li>Evitar el almacenamiento de la PII en dispositivos corporativos y discos duros externos o memorias USB: se pueden robar o perder, pudiendo usarlas un atacante para acceder a los datos del ordenador.<\/li>\n<li>No almacenar ni procesar PII real en la infraestructura de prueba.<\/li>\n<li>No usar nuevos servicios para almacenar y procesar datos hasta que est\u00e9s seguro de que cumplen con los requisitos b\u00e1sicos de seguridad.<\/li>\n<\/ul>\n<h2>La transferencia de datos personales<\/h2>\n<p>Todos los procesos relacionados con la transferencia de datos personales deben estar registrados y aprobados por el departamento de seguridad o el delegado de protecci\u00f3n de datos, si existe. Adem\u00e1s, todos los empleados con acceso a la PII deben tener instrucciones claras sobre c\u00f3mo manejar los datos de la empresa, qu\u00e9 servicios corporativos o de terceros se pueden usar para ello y a qui\u00e9n se pueden transferir estos datos. Adem\u00e1s, aseg\u00farate de que:<\/p>\n<ul>\n<li>los subcontratistas como, por ejemplo, un proveedor de servicios gestionados, no tengan acceso con derechos de administrador a los sistemas que contenga PII;<\/li>\n<li>el acceso a los datos est\u00e9 limitado a una base extraterritorial: los datos de los ciudadanos de un pa\u00eds no deben estar disponibles en otros pa\u00edses a menos que la transferencia transfronteriza de datos no est\u00e9 regulada;<\/li>\n<li>al transferir la PII, siempre se utilice el cifrado: esto resulta especialmente importante cuando se env\u00edan datos por correo electr\u00f3nico;<\/li>\n<li>al transferir datos personales a organizaciones de terceros, se firme un acuerdo de procesamiento de datos (DPA);<\/li>\n<li>tienes el derecho legal de transferir PII a terceros. Es decir, existe un consentimiento para ello por parte del sujeto PII, ya est\u00e9 especificado en un contrato o lo exija la ley.<\/li>\n<\/ul>\n<p>Por supuesto, ninguno de estos consejos, ni siquiera las estrictas regulaciones, pueden excluir la posibilidad de un error humano. Por lo tanto, entre otras cosas, te recomendamos realizar peri\u00f3dicamente formaciones de sensibilizaci\u00f3n en materia de seguridad. Para ello, es recomendable elegir <a href=\"https:\/\/k-asap.com\/es\/?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">plataformas de aprendizaje<\/a> que incluyan sobre todo contenido relacionado con la privacidad y la manipulaci\u00f3n de datos personales.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kasap\">\n","protected":false},"excerpt":{"rendered":"<p>C\u00f3mo almacenar y procesar sin riesgos informaci\u00f3n personal de identificaci\u00f3n en una empresa.<\/p>\n","protected":false},"author":2733,"featured_media":26139,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2737],"tags":[1527,5871],"class_list":{"0":"post-26138","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"tag-datos-personales","9":"tag-pii"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pii-gathering-advice\/26138\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pii-gathering-advice\/25450\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pii-gathering-advice\/20884\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pii-gathering-advice\/28054\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pii-gathering-advice\/25746\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pii-gathering-advice\/28594\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pii-gathering-advice\/35409\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pii-gathering-advice\/47669\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pii-gathering-advice\/20377\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pii-gathering-advice\/20998\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pii-gathering-advice\/29958\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pii-gathering-advice\/26316\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pii-gathering-advice\/31763\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pii-gathering-advice\/31450\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/datos-personales\/","name":"datos personales"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26138","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2733"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=26138"}],"version-history":[{"count":1,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26138\/revisions"}],"predecessor-version":[{"id":26140,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/26138\/revisions\/26140"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/26139"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=26138"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=26138"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=26138"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}