🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

Concienciación sobre la privacidad: qué es, por qué es importante y cómo formar a tus empleados

La mayoría de las filtraciones de datos no se deben a que los piratas informáticos burlen los cortafuegos. Se deben a errores evitables cometidos por los empleados: enviar un archivo al destinatario equivocado, dejar un documento en una unidad compartida con permisos incorrectos, utilizar una cuenta de correo electrónico personal para datos del trabajo o caer en la trampa de un correo electrónico de phishing que da lugar a un acceso no autorizado. La concienciación sobre la privacidad es la práctica organizativa que garantiza que los empleados comprendan qué son los datos personales, cuáles son sus responsabilidades en virtud de normativas como el RGPD y cómo gestionar los datos de forma que se proteja tanto a las personas como a la organización.

¿Qué es la concienciación sobre la privacidad?

La concienciación sobre la privacidad es el grado en que los empleados comprenden los riesgos relacionados con la privacidad y sus responsabilidades a la hora de tratar datos personales. Abarca tanto la dimensión jurídica —lo que exigen normativas como el RGPD— como la dimensión práctica: cómo se traducen esos requisitos en las decisiones cotidianas sobre la recogida, el almacenamiento, el intercambio y la supresión de datos.

Un empleado con una sólida concienciación sobre la privacidad conoce la diferencia entre datos personales y datos no personales, comprende por qué determinadas categorías de datos (datos sanitarios, datos financieros, opiniones políticas) requieren una protección adicional, sabe distinguir cuándo una solicitud de datos es legítima y cuándo podría tratarse de un intento de ingeniería social, y sabe qué hacer si sospecha que se ha producido una filtración de datos.

La concienciación sobre la privacidad es distinta de la concienciación sobre la seguridad, aunque está estrechamente relacionada con ella. La concienciación sobre la seguridad se centra en proteger los sistemas y los datos frente a amenazas externas. La concienciación sobre la privacidad se centra en cómo gestionan los propios empleados los datos. En la práctica, ambas se solapan en gran medida: un correo electrónico de phishing que da lugar al robo de credenciales constituye tanto un incidente de seguridad como una violación de la privacidad.

Por qué es importante la concienciación sobre la privacidad: el RGPD y el factor humano

En virtud del RGPD, las organizaciones son responsables del tratamiento de los datos personales, incluso cuando dicho tratamiento falla como consecuencia de un error de un empleado. Una violación de datos provocada porque un empleado ha enviado accidentalmente por correo electrónico una lista de clientes a una dirección equivocada sigue siendo una violación que debe notificarse. La organización es responsable de notificarla a la autoridad de control competente en un plazo de 72 horas, de notificar, en su caso, a las personas afectadas y de demostrar que contaba con las medidas técnicas y organizativas adecuadas.

Las «medidas organizativas adecuadas» incluyen explícitamente la formación del personal. El RGPD no especifica exactamente cómo debe ser dicha formación, pero las autoridades de control interpretan sistemáticamente este requisito como una sensibilización continua y adaptada a las funciones de cada puesto, y no como un módulo puntual que se complete el primer día de trabajo.

La mayoría de las notificaciones de infracciones del RGPD presentadas ante la autoridad de protección de datos neerlandesa (Autoriteit Persoonsgegevens) se deben a errores humanos, y no a ataques externos. La formación en materia de protección de datos aborda la causa más habitual del tipo de infracción más frecuente.

Más allá del cumplimiento normativo, la concienciación sobre la privacidad protege la confianza que los clientes, socios y empleados depositan en una organización. Una filtración de datos no es solo un incidente normativo, sino también un problema de reputación. Las organizaciones que pueden demostrar una auténtica cultura de responsabilidad en materia de privacidad están mejor preparadas para mantener esa confianza cuando se producen incidentes.

Qué significa en la práctica la concienciación sobre la privacidad para los empleados

La sensibilización sobre la privacidad no consiste en convertir a los empleados en abogados especializados en la materia, sino en proporcionarles los conocimientos prácticos necesarios para gestionar los datos de forma adecuada en el marco de sus funciones específicas. En la mayoría de las organizaciones, esto se reduce a un conjunto de competencias básicas:

  • Identificación de los datos personales. Nombres, direcciones de correo electrónico, números de teléfono, direcciones IP, datos de localización, información sanitaria, datos financieros: los empleados deben saber qué se considera datos personales en el contexto de su trabajo.
  • Comprender el principio de «necesidad de conocer». Solo deben tener acceso a los datos personales aquellas personas que los necesiten para desempeñar sus funciones. Los empleados que comprenden este principio son menos propensos a compartir datos de manera informal o a conceder accesos innecesarios.
  • Gestionar correctamente las solicitudes de datos. Qué hacer cuando un cliente solicita consultar sus datos, pide que se eliminen o se opone a su tratamiento. Saber que existe un procedimiento y a quién remitir el asunto es más importante que conocer todos los detalles del RGPD.
  • Gestión segura de los datos en el trabajo diario. Enviar datos confidenciales a través de canales cifrados, no almacenar datos personales en cuentas de correo electrónico personales ni en unidades compartidas no seguras, bloquear la pantalla al ausentarse del puesto de trabajo y no hablar de los datos de los clientes en espacios públicos.
  • Detectar y notificar incidentes relacionados con la privacidad. Un correo electrónico enviado por error, un archivo adjunto enviado a la persona equivocada, un dispositivo perdido con datos sin cifrar: los empleados que saben que esto constituye una posible violación de la seguridad y a quién deben notificarlo permiten a las organizaciones cumplir con el plazo de notificación de 72 horas.

Formación en materia de protección de datos: cómo lograr que se asimile

Los mismos principios que se aplican a la formación en materia de seguridad se aplican también a la formación en materia de privacidad: es mejor que sea breve, periódica y adaptada a las funciones del puesto, en lugar de larga, esporádica y genérica. Un módulo de formación en línea sobre el RGPD de 30 minutos de duración, impartido una vez al año, cumple con los requisitos de cumplimiento sobre el papel. Sin embargo, no garantiza que, seis meses después, un empleado del servicio de atención al cliente gestione de forma adecuada una solicitud de acceso de un interesado.

Una formación eficaz en materia de concienciación sobre la privacidad presenta varias características:

  • Basada en situaciones hipotéticas. Una formación que plantea situaciones realistas —«recibes un correo electrónico en el que se te pide que reenvíes los datos personales de un cliente a un tercero; ¿qué haces?»— desarrolla la capacidad de toma de decisiones, no solo los conocimientos.
  • Adecuada al puesto. Los riesgos relacionados con la privacidad a los que se enfrenta un equipo de atención al cliente son distintos de los que existen en los departamentos de finanzas, recursos humanos o informática. La formación que se adapta al trabajo diario real de un empleado tiene más probabilidades de ser asimilada y puesta en práctica.
  • Se repite periódicamente. La normativa en materia de privacidad evoluciona. Las prácticas de tratamiento de datos cambian. Una nueva herramienta o un nuevo proceso pueden acarrear nuevos riesgos para la privacidad. La formación continua garantiza que el conocimiento al día se mantenga al mismo ritmo.
  • Documentado. La capacidad de demostrar que se ha completado la formación —quién, cuándo y qué— constituye en sí misma un requisito de cumplimiento. Una formación que deja un registro de auditoría tiene mucho más valor que una que no lo hace.

La plataforma de formación en concienciación sobre seguridad de Guardey incluye la privacidad como parte de su programa más amplio, lo que ofrece a las organizaciones una única plataforma para la concienciación tanto en materia de seguridad como de privacidad, con las funciones de seguimiento y generación de informes necesarias para satisfacer tanto a los auditores como a los responsables de protección de datos.

La concienciación sobre la privacidad y la seguridad son inseparables

Fomenta la concienciación sobre la privacidad en tu organización y haz que sea cuantificable.

Solicitar una demostración
Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada