¿Por qué este tema es relevante para mi organización?

El comportamiento humano es la causa más frecuente de incidentes de seguridad. Conocer y concienciar sobre este tema reduce el riesgo de forma directa y demostrable.

¿Cómo ayuda 2LRN4 con este tema?

2LRN4 enlaza este tema con un módulo formativo basado en riesgos, una simulación de phishing opcional e informes, para que pueda demostrar el cumplimiento ante supervisores y consejo.

¿Basta con una formación de concienciación o hace falta más?

La formación es una pieza necesaria pero no un escudo completo. Combínela con medidas técnicas (MFA, filtrado de correo), procedimientos y cultura de notificación para una protección óptima.

Reconocer datos personales: ¿qué cuenta y qué no?

El RGPD se aplica en cuanto tratas datos personales. Pero ¿qué cuenta exactamente? Muchos piensan solo en el nombre y la dirección. En realidad el concepto es mucho más amplio: cualquier dato que pueda vincularse a una persona cuenta. Reconocerlo te indica cuándo entran en juego las normas de privacidad.

La definición: vinculable a una persona

Un dato personal es cualquier información sobre una persona física identificada o identificable. "Identificable" es amplio: aunque solo puedas vincular a alguien con información adicional, cuenta igualmente.

Por tanto abarca no solo datos directos como el nombre, sino también indirectos: una combinación de fecha de nacimiento, código postal y sexo puede hacer única a una persona, incluso sin nombre.

Ejemplos que se suelen olvidar

Además del nombre, la dirección y el correo, también cuentan:

Dirección IP e identificador de cookie: vinculables a un dispositivo y a menudo a una persona.
Matrícula: asociada a un titular.
Fotos y vídeo: donde alguien es reconocible.
Datos de ubicación: dónde estuvo alguien y cuándo.
DNI y número de empleado: identificadores únicos.
Voz y escritura: pueden conducir a una persona.

Datos sensibles y penales

Algunos datos personales son especialmente sensibles: salud, origen racial o étnico, religión, opiniones políticas, afiliación sindical, orientación sexual y biometría. Se les aplican reglas más estrictas.

Los datos sobre infracciones penales y el DNI también gozan de protección adicional. Cuando te los encuentres, trátalos con especial cuidado y compártelos solo por canales aprobados.

Cómo integrarlo en tu programa de concienciación

El reconocimiento es la competencia básica; orienta tu programa a la pregunta '¿cuándo se aplica el RGPD?'.

Haz que el personal clasifique ejemplos en ejercicios breves: dato personal o no.
Usa ejemplos de su propio trabajo, como un Excel de correos, una foto o un registro de IP.
Repite mediante microaprendizaje, porque el reconocimiento se diluye sin práctica.
Ofrece profundización por público en nuestro catálogo de cursos.

FAQ

¿Es un correo profesional un dato personal?

Por lo general sí. Una dirección como nombre.apellido@empresa.es es vinculable a una persona y entra en el RGPD. Una dirección genérica como info@empresa.es normalmente no.

¿Es la dirección IP un dato personal?

Sí, por regla general. Una IP es vinculable a un dispositivo y a menudo a una persona, sobre todo combinada con otros datos. El RGPD la trata por ello como dato personal.

¿Los datos de personas fallecidas entran en el RGPD?

No, el RGPD solo se aplica a personas vivas. Ojo: normas nacionales o el secreto profesional pueden protegerlos igualmente, y los datos de fallecidos pueden contener a la vez datos de personas vivas.

¿Los datos anonimizados siguen siendo personales?

Los datos realmente anonimizados, no vinculables a una persona, quedan fuera del RGPD. Los seudonimizados sí entran, porque siguen siendo vinculables con información adicional.

¿Cuenta una combinación de datos sueltos?

Sí. Datos aislados pueden parecer inofensivos, pero una combinación como fecha de nacimiento, código postal y sexo puede identificar de forma única a una persona. Entonces las normas se aplican plenamente.