Y mientras algunos esperan tranquilamente a ver en qué requisitos se convertirá finalmente el proceso legislativo, otros empiezan a prepararse y realizan una auditoría del tratamiento de los datos personales que tienen, y otros siguen protegiendo como siempre. En el evento de la Academia InfoWatch con expertos de «Kúper» (SberMarket) y MIEM NIU VShE, compartiremos desarrollos metodológicos sobre la protección de datos personales.
Analizaremos qué es importante hacer ya, empezando por la preparación del soporte normativo y hasta los pasos concretos que hay que dar para construir procedimientos de protección de datos personales que funcionen y se ajusten a la legislación. Anunciaremos un curso sobre protección de datos personales, desarrollado por la Academia InfoWatch junto con expertos y ponentes, актуальный всем, кому предстоит выстраивать комплаенс-системы по новым правилам и успешно проходить проверки Роскомнадзора.
- Explicaremos los pasos clave para construir un procedimiento de protección de datos personales en la organización. Por dónde empezar y a qué prestar atención.
- Consideraremos la lista de actos jurídicos internos al organizar la protección de datos personales. Qué documentos se necesitan, para qué sirven y qué solicitará el regulador al realizar una inspección.
- Qué hacer si se produce un incidente y cómo debe interactuar el operador de datos personales con Roskomnadzor al respecto.
- Destacaremos los errores al organizar la protección e interactuar con el regulador.
El evento de hoy está dirigido por Valentina Mironova, jefa del grupo de metodología de protección de datos personales de la empresa Kúper.
Valentina Mironova propuso debatir aquellos aspectos de la legislación que tenemos ahora y que están en vigor. Se trata de aspectos relacionados con los pasos clave en la construcción de un sistema de protección de datos personales. Sabemos que existe la ley federal nº 152 de datos personales, que establece una serie de requisitos para la protección de los datos que tratamos.
Centraremos nuestra atención en la aplicación práctica de la legislación vigente.
El primer paso para cumplir los requisitos legalmente es designar a un responsable de acuerdo con los requisitos de la ley. Está obligado a ejercer el control interno sobre el cumplimiento de los requisitos de la legislación en el ámbito de la protección de datos personales. Y este especialista debe realizar de forma continua una auditoría de todos los procesos de tratamiento de datos existentes. Debe informar a los empleados de la empresa en la que trabaja de todas las disposiciones de la legislación en materia de protección de datos personales y su tratamiento. Hay un punto más que debe realizar la persona responsable de la organización del tratamiento. Se trata de la recepción de solicitudes y consultas por parte de los interesados y de los órganos autorizados.
Aquí no debemos olvidar que estas tres obligaciones deben estar reguladas por los documentos normativos internos de la empresa.
El siguiente paso que hay que dar es realizar una auditoría de los procesos de tratamiento de datos personales. Es necesario comprender qué datos personales se tratan en la empresa, en qué procesos empresariales participan estos datos personales. Debemos describir obligatoriamente estos procesos y comprender las posibles incoherencias con los requisitos legales que existen actualmente. Si existen incoherencias, sin duda, habrá que trabajar en ellas. No olvide que todos los procesos en los que se lleva a cabo el tratamiento de datos personales deben tenerse en cuenta y, en consecuencia, debe realizarse su registro, gestión y mantenimiento en un estado actualizado, es decir, esto indica que no solo debemos realizar una auditoría del proceso en el segundo paso y olvidarnos de él, sino que los procesos deben ser vitales, es decir, debemos auditarlos constantemente para detectar posibles cambios que se hayan producido.
El siguiente paso, y uno de los clave, es la elaboración de una política en relación con el tratamiento de datos personales. Estamos obligados a determinar los fines del tratamiento, los fundamentos jurídicos, los derechos y obligaciones de la empresa como operador de datos personales. También determinamos los derechos y obligaciones de los interesados, enumeramos los datos personales que tratamos dentro de la empresa. Determinamos las categorías de interesados cuyos datos personales se tratan. Y lo más importante es el procedimiento y las condiciones de tratamiento de los datos que tenemos. Es decir, qué hacemos con los datos, cómo los tratamos, etc. Determinamos el procedimiento para la destrucción de estos datos, las adiciones. Es decir, todo lo relacionado con los artículos de la ley federal. Determinamos el procedimiento para responder a las solicitudes y el procedimiento para responder por parte de los órganos autorizados. Y, por supuesto, no olvidamos el artículo 18.1.19 de los requisitos de seguridad y las medidas que estamos obligados a cumplir en relación con los datos personales. No olvidemos que la política de tratamiento de datos personales está destinada a garantizar los derechos y libertades legítimos de los interesados.
Aquí no debemos olvidar que la elaboración de una política en relación con el tratamiento de datos personales debe publicarse en un lugar de acceso general, al que debemos hacer referencia obligatoriamente.
Estamos obligados a familiarizar a los empleados con la política en relación con el tratamiento de los mismos datos. Otro punto relacionado con la elaboración de otras disposiciones. Sabemos que, además de la política en relación con el tratamiento de datos personales, debe existir una disposición en relación con el tratamiento y la protección de datos personales. Debe determinarse el procedimiento para el almacenamiento y el uso de los datos personales de los empleados.
Algunas organizaciones tienen, además del tratamiento automatizado, también un tratamiento no automatizado de datos personales y, por supuesto, el documento clave que regula el tratamiento no automatizado de datos personales es la disposición en relación con el tratamiento no automatizado de datos personales.
El siguiente paso, después de haber determinado la persona responsable en relación con el trabajo con datos personales, hemos elaborado nuestra política, sabemos todo, dónde, qué nos pasa, estamos obligados a presentar notificaciones a Roskomnadzor.
Las notificaciones a Roskomnadzor pueden enviarse de dos formas, en papel o electrónicamente. Si hablamos de la forma en papel, enviamos a la dirección del órgano territorial en papel con la firma del director general de la empresa. Si hablamos de la forma electrónica, accedemos a la página web de Roskomnadzor, rellenamos todos los campos necesarios y enviamos las notificaciones a Roskomnadzor. No debemos olvidar que, después de haber enviado la notificación a Roskomnadzor, hay casos en los que se han producido cambios, como operadores en relación con el tratamiento de datos personales, y estos cambios se refieren a la notificación a Roskomnadzor, estamos obligados a realizar las correcciones correspondientes en las notificaciones. También puede obtener información al respecto en la página web de Roskomnadzor. También hay un punto importante, que es que, para comprobar que usted es un operador de datos personales y que Roskomnadzor ha recibido realmente su notificación, que le ha enviado, puede utilizar el registro de operadores y encontrar su organización.
El siguiente paso es, sin duda, cualquier acción con datos personales, bueno, además de las excepciones que figuran en el artículo nº 9 de la ley federal, deben realizarse con el consentimiento para el tratamiento de datos personales. Obtenemos el consentimiento de los interesados.
Y aquí, tal vez, valga la pena prestar atención a que el interesado toma la decisión de proporcionar sus datos personales y da su consentimiento para su tratamiento de acuerdo con su voluntad. Esto es muy importante. El consentimiento para el tratamiento debe ser concreto, específico, informado, consciente e inequívoco. En el consentimiento indicamos, además de quién da el consentimiento, a quién se da el consentimiento, la lista de datos personales, y también indicamos los métodos de tratamiento, los fines, para qué se da el consentimiento, obligatoriamente en qué plazos.
Sin duda, no debemos olvidar que existen dos formas de consentimiento. Se trata de la forma simple de consentimiento y la forma escrita de consentimiento. Si hablamos de una forma de consentimiento estrictamente establecida, los datos que deben estar en esta forma están presentes en el artículo 9, apartado 2.
Existe el consentimiento en forma simple. Cuando, por decirlo suavemente, accedemos a una página web, marcamos algunas casillas. Pero aquí no debemos olvidar que, si obtenemos algún consentimiento, nosotros, como operadores de datos personales, estamos obligados, en caso de que sea necesario en el futuro, a petición, por ejemplo, de un órgano autorizado o a petición del propio interesado, a confirmar el hecho de haber recibido dicho consentimiento, debemos tener en cuenta este punto obligatoriamente. Aquí es muy importante el aspecto de que el consentimiento cambia a menudo.
Ampliamos nuestro ámbito de actividad, ampliamos la lista de datos personales. Debemos volver a recopilar los consentimientos. Aquí llamaré la atención sobre el hecho de que muchos sistemas deberían almacenar los consentimientos recibidos anteriormente al recopilar el consentimiento. Esto también es muy importante, porque al dirigirse a Roskomnadzor, a menudo en la solicitud, hay preguntas relacionadas con algún período, es decir, la solicitud se formula de la siguiente manera. Confirme el hecho de que recibió el consentimiento de tal sujeto para el período, y queda por añadir un período concreto. Debemos sacar este consentimiento concreto del sistema y mostrarlo al órgano autorizado, dar una respuesta de que realmente recibió el consentimiento en este período de tiempo, y era así. Tal vez, en este momento ya sea diferente, pero en ese período era exactamente así.
No se pueden tratar datos personales sin consentimiento. Bueno, me refiero a los casos en que es necesario. Sin duda, en la ley hay otros casos en los que no es necesario obtener el consentimiento.
Pasamos al siguiente paso. Evaluación del posible daño que pueda causarse a los interesados. Recientemente se recibió la orden número 178 sobre la aprobación de los requisitos para la evaluación del daño que pueda causarse al objeto de los datos personales en caso de incumplimiento de los requisitos de la ley federal. Usted está obligado a realizar una inspección y evaluar los daños. Aquí debe elaborarse el documento correspondiente, este es un acta, y es obligatorio. Después de que hayamos evaluado el daño por incumplimiento de los requisitos de la Ley Federal 152, debemos pasar con usted a los sistemas de información para el tratamiento de datos personales.
Les recuerdo que por sistema de información de tratamiento de datos personales entendemos un conjunto de medios: debe existir una base de datos que procesemos, debe haber software, medios técnicos que realicen el tratamiento de datos personales. Y partimos precisamente de este paradigma.
Es muy importante realizar una inspección de los sistemas de información de datos personales. Hemos realizado una auditoría de los procesos, sabemos qué datos, a dónde van, por qué van, quién es el usuario de estos datos, en qué sistemas se almacenan, pero ¿qué son estos sistemas? Por supuesto, la inspección de los sistemas de información de datos personales es sin duda importante porque todas las amenazas y vulnerabilidades provienen del hecho de que tenemos un sistema. Y el primer paso fundamental para la presentación de cualquier sistema de protección de datos personales es la siguiente secuencia. Es decir, debemos saber qué vamos a proteger. Debemos conocer la estructura y composición de este sistema de información, las conexiones físicas y lógicas, y otras conexiones entre los segmentos del sistema de información, entre el propio sistema TKS, posiblemente, algunos otros sistemas. Es decir, debemos conocer, comprender y describir las sutilezas y matices del funcionamiento del sistema de información.
Debemos comprender los modos de tratamiento de datos personales, quién participa, qué usuarios hay, quiénes son privilegiados y no privilegiados, debemos calcular la matriz correspondiente para cada sistema de información, posiblemente algunas otras características del funcionamiento del sistema, etc. Qué datos personales hay en ellos, qué CPD se utilizan, cómo crearlos.
Objetos de protección. Y para un sistema de información de datos personales, entendemos por objeto de protección todo. Tanto la información contenida en el sistema de información de datos personales, como los medios técnicos con los que tratamos los datos personales, el software y las tecnologías de la información que nos permiten realizar el tratamiento.
El 5 de febrero de 2021, el FSTEK de Rusia aprobó la «Metodología para evaluar las amenazas a la seguridad de la información».
Si volvemos al documento del que hablaba antes, aprobado por el Servicio Federal de Control Técnico y de Exportación, en él se destacan las principales formas de determinar las amenazas a la seguridad de la información.
En primer lugar, recordemos que los intrusos internos son aquellos que se encuentran dentro del perímetro de su empresa, es decir, dentro de la zona controlada, y los intrusos externos son aquellos que intentan entrar desde fuera. Debemos evaluar, realizar un análisis de las vulnerabilidades del sistema de información, así como de las posibles formas de materialización de las amenazas y, por supuesto, evaluar las consecuencias que pueden producirse en caso de violación de las propiedades de la seguridad de la información. Me refiero a los tres pilares que todos los "expertos en seguridad" conocen. Se trata de la confidencialidad, la integridad y la disponibilidad.
La evaluación de las amenazas se realiza mediante un método experto y, a menudo, se reúne una comisión de expertos y se realiza una evaluación de las amenazas. No hay que olvidar que tenemos un banco de datos de amenazas, el FSTEC de Rusia. Es decir, todas las herramientas que se utilizan actualmente deben aplicarse para comprender lo más exhaustivamente posible qué amenazas son posibles y qué vulnerabilidades son posibles en el sistema. Esto permitirá crear un sistema de protección de la información mucho más fiable que si analizamos un menor número de fuentes.
Etapas de la evaluación de amenazas. La primera etapa es la determinación de las consecuencias negativas que pueden derivarse de la materialización de las amenazas. A continuación, determinamos los posibles objetos de impacto de las amenazas y, de hecho, evaluamos la posibilidad de materialización de la amenaza y su relevancia. Como datos iniciales, como ya he dicho, se utiliza el BDU-stack de Rusia en acceso libre.
Después de haber construido un modelo de amenazas e intrusos, hemos identificado las amenazas relevantes, hemos identificado a los intrusos que son relevantes para nuestro sistema concreto. Sin duda, ya hemos realizado parte del trabajo de evaluación de la seguridad. Sabemos qué datos personales están presentes en el sistema, de quién son los datos personales, en qué cantidad.
Pero por qué este paso se da después de la construcción de un modelo de amenazas, es muy importante para nosotros saber qué tipo de amenazas están presentes en el sistema. Tenemos, les recuerdo, tipos de amenazas. El primer tipo de amenazas son aquellas relacionadas con el acceso no autorizado en el software del sistema. El segundo tipo de amenazas son aquellas relacionadas con el acceso no autorizado en el software de aplicación. Y el tercer tipo de amenazas, no relacionadas con el acceso no autorizado ni en el software del sistema ni en el de aplicación.
La evaluación de la seguridad de los sistemas de información de datos personales se lleva a cabo sobre la base de la resolución gubernamental nº 1119, que se publicó en 2012. Aquí distinguimos los tipos de sistemas de información, los tipos de amenazas, así como el volumen de información, los registros sobre el interesado que tenemos. Y de acuerdo con esto, asignamos 4 niveles de seguridad para cada sistema de información.
Y, en consecuencia, elaboramos un acta. Aquí el tipo de amenazas, la categoría de tratamiento de datos personales, el número de interesados que se tratan. Después de que hayamos decidido de qué debemos protegernos, es decir, hemos construido un modelo de amenazas de intrusos, ahora necesitamos entender cómo vamos a protegernos. Para ello, creamos una especificación técnica, un proyecto de sistema de protección de datos personales, abreviado como sistema SZPDn.
Existen tres documentos que permitirán crear un sistema de protección de datos personales competente y correcto en relación con la legislación de la Federación Rusa. Tenemos la orden nº 17, que regula los requisitos relativos a los sistemas de información estatales de datos personales. Existe la orden nº 21, que indica qué requisitos organizativos y técnicos deben cumplirse en relación con los sistemas de información de datos personales. Existe una diferencia entre las órdenes 17 y 21. Es notable, por lo que si tenemos relación con un sistema de información estatal, aquí hay un matiz, del que hablaremos más adelante.
Después de haber desarrollado las especificaciones técnicas y el proyecto del sistema de protección de datos personales, necesitamos adquirir medios de protección, instalarlos en la configuración. No hay que olvidar que los medios de protección deben someterse a un procedimiento de evaluación de acuerdo con el procedimiento establecido.
Lo mismo se dice tanto en la orden 21 como en la 17.
El siguiente punto está relacionado con la evaluación de la eficacia de los medios de protección aplicados.
Si hablamos de un sistema de información ordinario, por así decirlo, no un sistema de información estatal, entonces la evaluación de la eficacia puede ser realizada por el operador de forma independiente o con la participación de personas sobre una base contractual. Si contratamos a alguna organización para realizar una evaluación de la eficacia de los medios de protección aplicados, es imprescindible que los colegas tengan una licencia de acuerdo con la legislación. Y la evaluación de la eficacia se lleva a cabo al menos una vez cada tres años.
En cuanto a los sistemas de información estatales, la historia es algo diferente, para los sistemas de información estatales, la certificación de los objetos es obligatoria. Después de construir el sistema de protección, instalar y configurar los sistemas de protección, deben pasar obligatoriamente la certificación de los objetos.
Constantemente debemos, en el proceso de creación de un sistema de protección de datos personales, elaborar una serie de VND (documentos normativos internos). Y si creamos un sistema de protección, no significa que creamos un sistema de protección y nos olvidamos de él. Debe realizarse un control y seguimiento constante de lo que está funcionando.