👉 Esta actividad te ayuda a cumplir el siguiente control:
ISO 27001 en su versión 2022: A.8.11
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir un procedimiento adecuado para proteger la privacidad de los individuos que son titulares de aquellos datos personales recabados, utilizados y/o en posesión de la empresa.
¿Qué tengo que hacer? 🚀
💡 Este procedimiento debe estar alineado a tus operaciones reales, pero sin dejar de considerar la implementación de medidas de seguridad adicionales que te ayuden a tener un procedimiento eficiente y en cumplimiento.
Antes de comenzar, es importante saber qué la anonimización o enmascaramiento es una técnica de tratamiento de datos que elimina o modifica los datos personales identificables, para obtener datos anónimos que no se pueden asociar con ninguna persona.
Entre los métodos más comunes de anonimización de datos encontramos los siguientes:
Generalización: Proceso de crear una categorización más amplia de los datos, creando una imagen más general de las tendencias o los conocimientos que proporciona. Esto implica excluir datos deliberadamente para hacerlos menos identificables.
Supresión o enmascaramiento de caracteres: Proceso que reemplaza los registros de datos personales con asteriscos u otro tipo de caracteres, demostrando que sí se cuenta con el dato, pero que se está ocultando por seguridad del titular.
Aleatorización: Procesos complementarios que modifican la veracidad de los datos, haciéndolos lo suficientemente ambiguos para eliminar su vínculo con el titular; principalmente procesos de adición de ruido y procesos de permutación (consiste en mezclar los valores para vincularlos artificialmente a distintos titulares).
Algoritmos hash: Generan una clave única para representar los datos personales. Esa clave reemplaza al dato original y hace casi imposible que pueda reconstruirse.
Cifrado de datos: Los datos personales se protegen con métodos de cifrado (criptografía) que solo pueden verse usando las claves autorizadas.
Ahora bien, para lograr esta actividad te sugerimos considerar las siguientes actividades:
Selección de los datos personales a anonimizar.
Debes analizar cuáles son los datos personales que recaba la empresa y cuáles son sus finalidades de tratamiento, con el objetivo de identificar aquellos datos que requieren ser anonimizados, es decir que por su importancia, una persona malintencionada no debe poder identificar al titular por medio de ellos.
Aplicación de los métodos de anonimización.
Una vez que conoces los datos personales a anonimizar, debes seleccionar e implementar los métodos pertinentes.
Puedes tomar como base los que te compartimos previamente en este artículo, o utilizar cualquier otro que te parezca conveniente y que cumpla con necesidades de seguridad.
💡 Recuerda dejar en el documento solo aquellos que van a utilizar dentro de la empresa.
Identificación y evaluación de riesgos de seguridad.
Aunque hayas implementado uno o más métodos de anonimización, siempre existe la posibilidad de que un riesgo ocurra, en este caso el riesgo de que el titular pueda ser identificado por medio de datos personales “mal anonimizados”.
Sabiendo esto, es muy importante realizar un análisis y evaluación de riesgos, que esté alineada a la metodología definida en tu empresa, y registrar los resultados en la matriz de riesgos.
El análisis de riesgos de seguridad, enfocado a datos personales, también debe realizarse por lo menos una vez al año.
Monitoreo y mejoramiento del procedimiento.
Para garantizar que estás utilizando los métodos de anonimización más adecuados e incluso, más novedosos, es esencial que el área o persona responsable de este procedimiento realice revisiones periódicas de su implementación, para verificar si no existen oportunidades de mejora que permitan robustecer la protección de tus datos personales y evitar la identificación de sus titulares por parte de personas mal intencionadas o no autorizadas.
Adicionalmente, estas revisiones te permiten validar si los métodos de anonimización están funcionando correctamente, así como también a mantener tu cumplimiento normativo ✅.
Recuerda que nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Complementa la protección de datos personales con un buen control de accesos, y una adecuada segregación de roles y permisos, de manera que los usuarios puedan ver únicamente los datos mínimos necesarios para llevar a cabo sus funciones.
Pide ayuda a tus abogados o área legal, si lo consideras necesario, para conocer si existen otros requisitos regulatorios sobre protección de datos que debas considerar para este procedimiento.
Ajusta el procedimiento a tus operaciones reales y que pueda sustentar lo definido en tus políticas de seguridad de la información.
Si deseas tener mayor cumplimiento normativo en cuanto a protección de datos personales, te recomendamos considerar la implementación de la ISO 27701, y complementar tu conocimiento leyendo nuestro artículo dedicado a esta actividad para ISO 27701.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.