Porque incluir el e-waste en el plan de protección de datos personales?

datos personales

Desde 2020 tenemos en Ecuador la Ley orgánica de protección de datos personales, para garantiza el derecho que tenemos los ecuatorianos a que se resguarden los datos personales, a poder acceder libremente a dicha información y a decidir sobre ella. Para ello, las empresas deben desarrollar un plan de proteccion de datos y procesos de seguridad de información, teniendo en cuenta el principio de Responsabilidad Proactiva y Demostrada.

 

Las organizaciones, deben evaluar sus áreas y procesos para identificar donde existe data. Estos pueden estar almacenados en medios físicos o digitales. Y deben evaluar los riesgos de privacidad para tomar acciones como: fortalecer los controles, evitar la captura de datos innecesarios, ajustar los procesos y sistemas, renegociar contratos, etc. Este análisis exhaustivo debe incluir los procesos de baja y reciclaje de equipos electrónicos e-waste.

Que es la filtración de información y como sucede?

Los riesgos relacionados a seguridad de data no solo vienen de la mano de hackeos y archivos con virus. Una de las formas más comunes de filtrado de data ocurre con la data que esta aun contenida en la basura electrónica de las empresas, en todos los equipos de computo que han sido dados de baja. Estos equipos, a pesar de estar formateados, aun contienen información de clientes, información personal e inclusive información financiera sensible. Es muy importante entonces que el proceso de baja de activos este incluido en el plan de protección de datos personales

El riesgo se materializa cuando estos equipos son donados, regalados, vendidos o reciclados, pues la data se esta exponiendo a una posible filtración y uso mal intencionado o no consentido, que es precisamente lo que la nueva Ley pretende evitar; puesto que no solo ponemos en riesgo la información de las empresas, sino la información de nuestros clientes. Tener en cuenta que, no porque un equipo es viejo, obsoleto o esta dañado o no enciende, quiere decir que no contiene información o que la información no puede ser accedida.

Que es sanitización de data?

El proceso de sanitización de data tiene como objetivo asegurar que cualquier información que este en un dispositivo sea imposible recuperar, y por tanto no se le puede dar un uso no autorizado. Es importante entender las diferencias entre un proceso de sanitización de data técnico, el borrado de archivos y el formateo de dispositivos

Como reducir los riesgos de gestión de data en el e-waste?

Si sus equipos electrónicos y de computación han llegado al final de su vida útil, la mejor alternativa es entregarlos a un gestor técnico y calificado ahora el reciclaje responsable de ewaste. Sin embargo, hay algunos puntos que analizar:

 

  1. Hacer una análisis de los riesgos a la seguridad de información de los procesos de reciclaje de ewaste, donación y entrega de residuos electrónicos
  2. Incluir el proceso de baja de activos de computación y reciclaje de residuos electrónicos dentro del plan de protección de datos
  3. Al seleccionar un gestor que realice el reciclaje de residuos electrónicos, pregunta sobre el proceso de sanitización de data que utilizan
  4. Verificar que el gestor entregue certificados de sanitización de data que incluya el proceso utilizado, el software o mecanismo utilizado
  5. Consultar al gestor sobre el proceso de cadena de custodia y seguridad que se mantendrá durante la recolección y transporte de los residuos
  6. Revisar los permisos ambientales y certificaciones internacionales que el gestor de tus residuos electrónicos tenga
  7. No donar, regalar o entregar equipos electrónicos sin que hayan tenido un proceso de sanitización de data o destrucción física irreversible de dispositivo

La información o data es importante para su empresa y para sus clientes. Existe una obligación legal de hacer buen uso y proteger esta información. Asegúrese de que todos los proveedores y actores que manejan su data o dispositivos electrónicos en cualquier estado, cuenten con planes de seguridad de información para no poner a su empresa en riesgo