{{loader.title}}
Jhonatan Calderón Leiva

Política para el tratamiento de registros de actividad y seguridad

Objeto y alcance

Esta política regula las condiciones y reglas internas aplicables al registro, almacenamiento, acceso, análisis y supresión de datos personales que se recolectan y procesan con la finalidad de garantizar la seguridad de los sistemas, prevenir y detectar ataques informáticos, abusos, fraudes y otros incidentes que pongan en riesgo la integridad, disponibilidad o confidencialidad de los servicios.

Base legal y principios aplicables

El tratamiento de datos para fines de seguridad se ampara en las bases de licitud previstas por la normativa aplicable, en particular en las disposiciones que permiten el tratamiento por interés legítimo y para la defensa de derechos. En todo caso, dicho tratamiento se efectuará conforme a los principios de licitud, finalidad, proporcionalidad, calidad, seguridad, transparencia y responsabilidad.

Tipos de datos registrados

Los registros podrán incluir, según corresponda y en la medida estrictamente necesaria: direcciones IP, sellos de fecha y hora, user-agent, identificadores de sesión, rutas y endpoints accedidos. No se almacenarán datos sensibles salvo que exista un fundamento legal expreso o una necesidad debidamente justificada y documentada.

Finalidades del tratamiento

Los datos se tratarán exclusivamente para las siguientes finalidades: detección y mitigación de ataques (p. ej., fuerza bruta, DDoS, inyección), investigación forense de incidentes, mejora de controles de seguridad, respuesta a incidentes y cumplimiento de obligaciones legales o regulatorias.

Minimización y limitación del tratamiento

Se aplicará el principio de minimización: sólo se recolectarán y conservarán los datos estrictamente necesarios para las finalidades indicadas. El acceso y el uso de los registros estarán limitados a las personas y roles que requieran dicha información para desempeñar funciones de seguridad.

Retención y supresión

Los datos se conservarán por el tiempo mínimo necesario para cumplir la finalidad de seguridad. Se definirán plazos de retención documentados y diferenciados según la naturaleza del dato y el nivel de riesgo, con revisiones periódicas. Una vez vencido el plazo aplicable, los datos deberán ser suprimidos o anonimizados de forma irreversible, salvo obligación legal que exija conservación.

Medidas de seguridad y confidencialidad

Los registros estarán sujetos a medidas técnicas y organizativas adecuadas, incluyendo, entre otras, control de accesos por roles, registro de accesos y operaciones sobre los logs, cifrado en tránsito y en reposo cuando proceda, controles de integridad y backups protegidos. El personal con acceso deberá observar un deber de confidencialidad y recibir la formación requerida.

Seudonimización y anonimización

Cuando sea posible, se aplicarán técnicas de seudonimización para minimizar la identificabilidad de los titulares durante los análisis y la conservación. La anonimización se empleará cuando los datos deban conservarse con fines estadísticos o investigativos sin identificar a personas naturales.

Gestión de incidentes y notificación

Ante una vulneración de seguridad que afecte registros personales, se aplicará el procedimiento interno de respuesta a incidentes. Se documentará la naturaleza de la vulneración, las categorías de datos afectadas, el número aproximado de titulares y las medidas adoptadas. Cuando exista un riesgo razonable para los derechos y libertades de los titulares, se notificará a la autoridad competente y, si procede, a los titulares afectados, conforme a las normas aplicables.

Encargados y terceros

La contratación de proveedores que actúen como encargados del tratamiento deberá formalizarse mediante contrato que establezca obligaciones de confidencialidad, seguridad, finalidad y prohibición de subcontratación sin autorización. Las transferencias internacionales de datos deberán contar con las garantías legales exigidas.

Transparencia y derechos de los titulares

Se informará en la política de privacidad y en los canales adecuados que se realizan registros con fines de seguridad, indicando de manera clara las finalidades, la base legal, los tipos de datos tratados, los plazos aproximados de conservación y los medios para ejercer los derechos de acceso, rectificación, supresión, oposición y portabilidad en la medida que sean procedentes.

Evaluación de impacto y auditorías

Cuando el tratamiento sea de alto riesgo por su naturaleza, escala o finalidad (p. ej., perfilamiento masivo o monitoreo extensivo), se realizará una evaluación de impacto en materia de protección de datos previa al inicio del tratamiento. Además, se programarán auditorías internas y externas periódicas para verificar el cumplimiento de esta política.

Formación y responsabilidad

El responsable designará roles responsables de seguridad y protección de datos, garantizará formación periódica al personal implicado y mantendrá registros de las decisiones y medidas adoptadas en relación con el tratamiento de los registros de seguridad.

Revisión y actualización

Esta política será revisada y actualizada periódicamente para incorporar cambios regulatorios, tecnológicos y operativos. Las modificaciones relevantes serán comunicadas a los responsables de las unidades afectadas y reflejadas en la documentación de cumplimiento.