Glosario Privalex

Proceso irreversible mediante el cual los datos personales son transformados de forma que la persona a la que se refieren no pueda ser identificada directa ni indirectamente. Una vez anonimizados correctamente, los datos dejan de estar sujetos al RGPD.

Examen sistemático e independiente de los controles de seguridad de una organización para determinar si se aplican correctamente y si producen los resultados deseados. Es un mecanismo clave para verificar el cumplimiento normativo.

Mecanismo de seguridad que requiere que el usuario proporcione dos o más factores de verificación para acceder a un recurso. Combina algo que sabe (contraseña), algo que tiene (token) y algo que es (biométrico).

Organismo público independiente establecido por los Estados miembros de la UE con la misión de supervisar la aplicación del RGPD. Tiene capacidad para investigar, corregir y sancionar las infracciones en materia de protección de datos.

Fundamento legal que legitima el tratamiento de datos personales según el RGPD. Puede ser el consentimiento, la ejecución de un contrato, el cumplimiento de una obligación legal, intereses vitales, misión de interés público o interés legítimo.

Medición y análisis estadístico de las características físicas o comportamentales únicas de una persona, como huellas dactilares o reconocimiento facial. Se utilizan como método de autenticación o identificación en sistemas de seguridad avanzados.

Conjunto de estrategias, herramientas y acciones legales destinadas a salvaguardar la identidad, reputación y activos de una marca frente a usos no autorizados, falsificaciones o piratería. Incluye vigilancia de mercado, acciones legales y registro de derechos.

Incidente de seguridad que provoca la destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado a datos personales. Debe ser notificado a la autoridad de control en un plazo máximo de 72 horas.

Datos personales especialmente sensibles que merecen mayor protección conforme al RGPD. Incluyen datos relativos al origen étnico, convicciones religiosas, salud, vida sexual, orientación sexual, datos genéticos, biométricos o afiliación sindical.

Ley de privacidad del estado de California (EE.UU.) que otorga a los consumidores derechos sobre sus datos personales. Incluye el derecho a saber qué datos se recopilan, el derecho a eliminarlos y el derecho a no vender su información.

Reconocimiento formal emitido por un organismo de certificación acreditado que confirma que una organización cumple los requisitos de una norma internacional ISO específica. Se obtiene tras superar una auditoría externa independiente.

Capacidad de una organización para prepararse, resistir, recuperarse y adaptarse frente a ciberataques u otras perturbaciones tecnológicas. Va más allá de la ciberseguridad al incorporar la continuidad operativa como objetivo central.

Conjunto de tecnologías, procesos y prácticas diseñadas para proteger redes, dispositivos, programas y datos frente a ataques, daños o accesos no autorizados. Preserva la confidencialidad, integridad y disponibilidad de la información.

Etapas por las que pasa la información desde su recopilación hasta su eliminación. Incluye recogida, almacenamiento, uso, compartición, archivado y supresión, con medidas de seguridad adecuadas en cada fase.

Proceso de transformar datos legibles en un formato codificado que solo puede ser descifrado por quienes poseen la clave correspondiente. Garantiza la confidencialidad de la información tanto en tránsito como en reposo.

Órgano de gobierno interno responsable de supervisar, coordinar y tomar decisiones estratégicas en materia de seguridad de la información. Asegura la alineación entre las medidas de seguridad y los objetivos de negocio.

Cumplimiento del conjunto de normas, leyes, regulaciones y estándares aplicables a una organización. Incluye los procesos internos establecidos para garantizar, monitorizar y demostrar dicho cumplimiento de forma sistemática.

Principio de seguridad que garantiza que los datos solo son accesibles para las personas, entidades o procesos autorizados. Impide la divulgación no autorizada de información sensible o personal.

Manifestación expresa de voluntad libre, específica, informada e inequívoca mediante la que el interesado acepta el tratamiento de sus datos personales. Debe poder retirarse en cualquier momento con la misma facilidad con que se otorgó.

Plan estratégico que permite a una organización mantener o restaurar sus operaciones críticas durante y después de una interrupción grave. Incluye procedimientos, responsabilidades y recursos necesarios para la recuperación.

Mecanismo de seguridad que regula quién puede acceder a recursos específicos dentro de un sistema informático. Se basa en la identidad verificada del usuario y en los permisos previamente definidos conforme al principio de mínimo privilegio.

Salvaguardas técnicas, operativas o de gestión implementadas para reducir los riesgos de seguridad a un nivel aceptable. Protegen la confidencialidad, integridad y disponibilidad de los activos de información.

Derecho legal que otorga al creador de obras originales la facultad exclusiva de reproducirlas, distribuirlas y crear obras derivadas. Protege tanto los intereses económicos como los derechos morales del autor.

Disciplina que estudia técnicas matemáticas para asegurar la comunicación y proteger la información. Garantiza confidencialidad, integridad, autenticación y no repudio mediante algoritmos y claves criptográficas.

Sistema de referencia público que proporciona identificadores únicos para vulnerabilidades de seguridad conocidas en software y hardware. Facilita el intercambio estandarizado de información sobre amenazas entre organizaciones.

Instrumento de autorregulación aprobado por una asociación representativa que concreta la aplicación del RGPD en un sector específico. Permite a las organizaciones adheridas demostrar su cumplimiento ante la autoridad de control.

Marco organizativo que define las políticas, procesos, estándares y responsabilidades para garantizar la calidad, integridad, seguridad y uso adecuado de los datos a lo largo de su ciclo de vida.

Proceso de identificación y documentación de todos los flujos de datos personales dentro de una organización. Especifica qué datos se recogen, cómo se tratan, dónde se almacenan, con quién se comparten y cuánto tiempo se conservan.

Principio del RGPD que establece que solo deben recogerse y tratarse los datos personales adecuados, pertinentes y limitados a lo necesario para los fines declarados. Evita la recopilación excesiva o injustificada de información.

Documento requerido por ISO 27001 que lista todos los controles del Anexo A, indicando cuáles se han aplicado, cuáles se han excluido y la justificación de cada decisión. Es la evidencia central del SGSI.

Figura profesional designada por el responsable o encargado del tratamiento para supervisar el cumplimiento del RGPD. Actúa como punto de contacto con la autoridad de control y asesora sobre obligaciones en materia de privacidad.

Derecho reconocido en el RGPD que permite a los interesados solicitar la supresión de sus datos personales cuando estos ya no sean necesarios o cuando retiren su consentimiento. El responsable, con carácter general, debe atender este derecho en un plazo de 30 días.

Conjunto de derechos que el RGPD otorga a las personas físicas sobre sus datos personales. Incluye acceso, rectificación, supresión, portabilidad, limitación del tratamiento, oposición y derechos frente a decisiones automatizadas.

Derechos legales que protegen las creaciones de la mente humana, como invenciones, obras literarias, diseños o marcas. Engloban patentes, marcas registradas, derechos de autor y diseños industriales.

Proceso mediante el cual los datos personales o confidenciales son eliminados de forma permanente e irrecuperable. Utiliza técnicas como la sobreescritura, desmagnetización o destrucción física del soporte de almacenamiento.

Principio de seguridad que garantiza que los sistemas, datos y servicios estén accesibles y operativos cuando los usuarios autorizados los necesiten. Minimiza el tiempo de inactividad no planificado y los impactos en el negocio.

Reglamento europeo que establece requisitos de resiliencia operativa digital para las entidades financieras. Exige gestión del riesgo TIC, pruebas de resiliencia, gestión de incidentes y supervisión de proveedores críticos de servicios TIC.

Enfoque y conjunto de herramientas que proporciona visibilidad continua sobre dónde residen los datos sensibles y cómo se protegen. Permite gestionar el riesgo asociado a los datos en entornos cloud y on-premise.

Proceso de investigación exhaustiva que una organización realiza sobre un tercero antes de establecer una relación contractual. Evalúa riesgos legales, financieros, operativos y de cumplimiento normativo del proveedor o socio.

Persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento. Actúa bajo sus instrucciones sin determinar los fines ni los medios del tratamiento, vinculado por un contrato de encargo.

Marco regulatorio español que establece los principios y requisitos de seguridad que deben cumplir las Administraciones Públicas y sus proveedores. Protege la información y los servicios electrónicos del sector público.

Evaluación obligatoria cuando el tratamiento de datos puede entrañar un alto riesgo para los derechos y libertades de las personas. Describe el tratamiento, evalúa la necesidad y proporcionalidad, y gestiona los riesgos identificados.

Proceso sistemático de identificación, análisis y valoración de los riesgos que pueden afectar a los activos de información de una organización. Es el paso previo a la selección e implementación de controles de seguridad.

Registros, declaraciones de hechos u otra información verificable utilizada para determinar el grado de cumplimiento de los criterios de auditoría. Son fundamentales para sustentar las conclusiones del auditor de forma objetiva.

Sistema de seguridad de red, hardware o software, que monitoriza y controla el tráfico según reglas de seguridad predefinidas. Establece una barrera entre redes de confianza e inseguras, filtrando conexiones no autorizadas.

Programa educativo dirigido a los empleados para garantizar que comprenden sus obligaciones en materia de protección de datos conforme al RGPD y las políticas internas. Reduce significativamente el riesgo de incidentes causados por error humano.

Reglamento de la Unión Europea (2016/679) que establece el marco jurídico para la protección de datos personales de los ciudadanos europeos. Aplica a cualquier organización que trate datos de residentes en la UE, con multas de hasta el 4% de la facturación global.

Marco de políticas y tecnologías para garantizar que las personas adecuadas tengan el acceso apropiado a los recursos tecnológicos. Gestiona el ciclo de vida completo de las identidades digitales y sus permisos asociados.

Proceso estructurado para identificar, analizar, contener, erradicar y recuperarse de incidentes de seguridad. Minimiza su impacto y previene su recurrencia mediante la documentación de lecciones aprendidas.

Proceso de identificación, adquisición, prueba y aplicación de actualizaciones de software y firmware para corregir vulnerabilidades conocidas. Reduce la superficie de exposición ante ataques que explotan fallos sin parchear.

Proceso mediante el cual una organización evalúa, selecciona, supervisa y gestiona sus relaciones con terceros. Asegura que los proveedores cumplen con los requisitos de seguridad, privacidad y cumplimiento normativo establecidos contractualmente.

Proceso continuo de identificación, evaluación, tratamiento, monitorización y comunicación de riesgos que pueden afectar a los objetivos de una organización. Busca reducirlos a un nivel aceptable mediante controles proporcionales.

Conjunto de políticas, marcos normativos y mecanismos de supervisión que garantizan que los sistemas de inteligencia artificial se desarrollan y usan de manera ética, responsable y conforme a la normativa. Clave para cumplir con el AI Act.

Proceso de refuerzo de la seguridad de un sistema informático mediante la reducción de su superficie de ataque. Incluye eliminar servicios innecesarios, aplicar configuraciones seguras y limitar los puntos de acceso vulnerables.

Ley federal de Estados Unidos que establece estándares para proteger la información médica sensible de los pacientes. Regula cómo los proveedores de salud, aseguradoras y sus socios comerciales manejan los datos de salud protegidos (PHI).

Representación electrónica única de una persona, organización o dispositivo en el entorno digital. Compuesta por atributos y credenciales que permiten su autenticación e identificación en sistemas y servicios en línea.

Datos cuya divulgación no autorizada podría causar daños significativos a individuos u organizaciones. Incluye datos personales de categorías especiales, secretos comerciales, información financiera confidencial y datos estratégicos.

Sistemas, redes y activos físicos o digitales esenciales para el funcionamiento de la sociedad y la economía. Su perturbación tendría un impacto grave en sectores como la energía, el agua, las telecomunicaciones o el sistema financiero.

Principio de seguridad que garantiza que los datos son exactos, completos y no han sido modificados de forma no autorizada. Es fundamental para mantener la confianza en la información durante su almacenamiento, procesamiento o transmisión.

Base jurídica del tratamiento que permite a las organizaciones tratar datos personales sin consentimiento explícito, siempre que sea necesario para sus fines legítimos o de terceros y no prevalezcan los derechos o libertades fundamentales del interesado. Requiere realizar una ponderación previa documentada y superar el test de proporcionalidad.

Registro sistemático y actualizado de todos los activos de información de una organización, incluyendo hardware, software, datos y servicios. Cada activo debe tener propietario asignado, clasificación y nivel de criticidad para el negocio.

Sistema de Gestión de Seguridad de la Información: marco documentado de políticas, procesos y controles para gestionar sistemáticamente los riesgos de seguridad. Su implementación conforme a ISO 27001 permite obtener certificación reconocida internacionalmente.

Norma internacional que especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Es la certificación de seguridad de la información más reconocida a nivel mundial.

Extensión de ISO 27001 para la gestión de la privacidad de la información. Establece requisitos para implementar un Sistema de Gestión de Información de Privacidad (PIMS) alineado con el RGPD y otras normativas de privacidad.

Primera norma internacional de gestión para sistemas de inteligencia artificial. Establece los requisitos para un sistema de gestión de IA (AIMS), abordando gobernanza, ética, transparencia y riesgos específicos de la IA.

Reglamento europeo que establece un marco jurídico armonizado para el desarrollo, comercialización y uso de sistemas de inteligencia artificial en la UE. Clasifica los sistemas de IA según su nivel de riesgo, desde riesgo mínimo hasta riesgo inaceptable, con obligaciones proporcionales a cada categoría.

Conjunto de bases jurídicas previstas en el RGPD que habilitan el tratamiento lícito de datos personales. Debe existir al menos una base válida antes de iniciar cualquier operación de tratamiento de datos.

Acuerdo legal entre el desarrollador o distribuidor de un software y el usuario que define los términos de uso del programa. Establece derechos de uso, restricciones, garantías y condiciones de soporte técnico.

Registro cronológico de eventos y actividades realizadas en un sistema informático. Permite rastrear acciones de usuarios, detectar anomalías, investigar incidentes y demostrar el cumplimiento normativo ante auditores y autoridades.

Término genérico para cualquier software malicioso diseñado para infiltrarse, dañar o acceder sin autorización a sistemas informáticos. Incluye virus, troyanos, ransomware, spyware y otros tipos de código dañino.

Signo distintivo que identifica los productos o servicios de una empresa y la diferencia de sus competidores. Protegida legalmente mediante su registro en la oficina de patentes y marcas, otorga derechos exclusivos de uso en el territorio registrado.

Marco desarrollado por el Instituto Nacional de Estándares y Tecnología de EE.UU. para gestionar el riesgo de ciberseguridad. Organiza las actividades en cinco funciones: Identificar, Proteger, Detectar, Responder y Recuperar.

Conjunto de leyes, reglamentos, directivas, estándares y normas que establecen las reglas que deben cumplir las organizaciones en un ámbito específico. Su correcta interpretación e implementación es clave para evitar sanciones.

Salvaguardas implementadas por responsables y encargados del tratamiento para garantizar la seguridad de los datos personales. Incluyen controles tecnológicos (cifrado, pseudonimización) y medidas de gestión (formación, políticas internas).

Esquema utilizado principalmente en servicios cloud que define la división de responsabilidades en materia de seguridad entre el proveedor y el cliente. Varía según el modelo de servicio contratado: IaaS, PaaS o SaaS.

Directiva europea que refuerza los requisitos de ciberseguridad para operadores de servicios esenciales. Amplía el ámbito de la directiva NIS original e introduce obligaciones más estrictas en gestión de riesgos y notificación de incidentes.

Propiedad de seguridad que garantiza que el emisor de un mensaje o el autor de una acción no puede negar haberlo realizado. Proporciona evidencia verificable de la autoría e integridad de las comunicaciones y transacciones digitales.

Obligación legal establecida en el RGPD de comunicar las brechas de seguridad que afecten a datos personales a la autoridad de control en 72 horas. Cuando sea necesario, también debe notificarse a los propios interesados afectados.

Método de evaluación de seguridad que simula ataques reales contra un sistema informático para identificar vulnerabilidades explotables. Permite descubrir y corregir debilidades antes de que sean aprovechadas por actores maliciosos.

Técnica de ingeniería social mediante la cual los atacantes engañan a las víctimas para que revelen información confidencial. Se hacen pasar por entidades de confianza a través de correos electrónicos, mensajes o sitios web fraudulentos.

Documento estratégico que define cómo una organización continuará operando durante y después de una interrupción no planificada. Incluye procedimientos, responsabilidades y recursos necesarios para mantener las funciones críticas activas.

Conjunto documentado de políticas y procedimientos para recuperar la infraestructura tecnológica crítica tras una interrupción grave. Minimiza el tiempo de inactividad (RTO) y la pérdida de datos (RPO).

Conjunto de reglas y requisitos que una organización establece para garantizar que las contraseñas sean suficientemente robustas. Define longitud mínima, complejidad, historial y periodicidad de cambio obligatorio.

Documento legal que informa a los usuarios cómo una organización recoge, usa, almacena y protege sus datos personales. Describe los derechos de los interesados y los medios para ejercerlos, siendo obligatoria conforme al RGPD.

Documento de alto nivel que establece las directrices y reglas generales de una organización en materia de seguridad de la información. Sirve como base para el desarrollo de procedimientos, estándares y controles específicos.

Principio del RGPD que establece que los datos personales deben ser exactos y, si fuera necesario, actualizados. El responsable debe tomar medidas razonables para suprimir o rectificar los datos inexactos.

Principio del RGPD que establece que los datos personales deben recogerse con fines determinados, explícitos y legítimos. No pueden tratarse posteriormente de manera incompatible con esos fines sin una nueva base de legitimación.

Principio y requisito del RGPD que exige incorporar la protección de datos desde las fases iniciales del diseño de sistemas o servicios. La privacidad debe ser una característica inherente, no un añadido posterior.

Principio del RGPD que establece que los parámetros de configuración predeterminados deben ser los más protectores de la privacidad. El usuario no debe tener que actuar para conseguir el nivel mínimo de protección.

Principio jurídico que exige que las medidas adoptadas sean adecuadas, necesarias y equilibradas en relación con los fines perseguidos. Evita el uso excesivo de datos personales.

Empresa que ofrece recursos informáticos a través de internet bajo demanda. Actúa frecuentemente como encargado del tratamiento en relación con los datos personales que gestiona por cuenta de sus clientes empresariales.

Técnica que sustituye la información identificable directamente por un seudónimo o código. Los datos no pueden atribuirse a un interesado sin usar información adicional mantenida separada y protegida por medidas técnicas y organizativas.

Tipo de malware que cifra los archivos o bloquea el acceso al sistema de la víctima, exigiendo el pago de un rescate para restaurar el acceso. Representa una de las principales amenazas de ciberseguridad para organizaciones de todos los sectores.

Documento obligatorio para la mayoría de responsables y encargados conforme al RGPD. Describe de forma detallada todas las actividades de tratamiento de datos personales que realiza la organización, incluyendo finalidades, plazos y medidas de seguridad.

Documento o sistema donde se registran todos los incidentes de seguridad ocurridos en una organización. Incluye descripción del incidente, fecha, impacto, acciones tomadas y lecciones aprendidas, siendo esencial para la mejora continua.

Capacidad de una organización para anticipar, resistir, recuperarse y adaptarse a disrupciones o ciberataques. Integra la continuidad del negocio, la recuperación ante desastres y la gestión de incidentes en un marco holístico.

Persona física o jurídica que determina los fines y medios del tratamiento de datos personales. Es el principal responsable ante la autoridad de control y los interesados del cumplimiento del RGPD.

Entidad que determina los fines y los medios del tratamiento de datos personales. Es la principal responsable ante la autoridad de control y los interesados del cumplimiento de todas las obligaciones establecidas en el RGPD.

Evaluación periódica del SGSI por parte de la alta dirección para garantizar su conveniencia, adecuación y eficacia. Es un requisito explícito de ISO 27001 y permite identificar oportunidades de mejora y reasignar recursos.

Posibilidad de que el tratamiento de datos personales cause daño a los interesados, como discriminación, pérdidas económicas o daño reputacional. Debe evaluarse y mitigarse con medidas técnicas y organizativas proporcionales.

Penalización económica impuesta por una autoridad de control ante el incumplimiento normativo. Las multas del RGPD pueden alcanzar hasta 20 millones de euros o el 4% de la facturación global anual, la cifra que sea mayor.

División de una red informática en segmentos aislados para limitar la propagación de ataques y mejorar el control del tráfico. Reduce la superficie de ataque y contiene el impacto de posibles brechas de seguridad.

Conjunto de políticas, tecnologías y controles utilizados para proteger los datos, aplicaciones e infraestructura en entornos cloud. Aborda amenazas específicas del modelo de computación en nube como la multitenencia y la pérdida de control físico.

Principio de diseño que establece que los productos deben estar configurados con los niveles más seguros posibles desde su instalación. El usuario no debe tener que realizar configuraciones adicionales para obtener una protección básica adecuada.

Marco documentado de políticas, procedimientos, controles y procesos para gestionar sistemáticamente la seguridad de la información. Su implementación conforme a ISO 27001 permite obtener una certificación reconocida internacionalmente.

Marco de auditoría del AICPA para evaluar los controles de seguridad de proveedores de servicios tecnológicos. Evalúa cinco categorías: seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad.

Conjunto total de puntos vulnerables a través de los cuales un atacante podría intentar acceder o causar daño. Incluye software, hardware, interfaces, personas y procesos; reducirlo es una práctica fundamental de seguridad.

Envío de datos personales a países u organizaciones fuera del Espacio Económico Europeo. Requiere garantías adecuadas según el RGPD, como decisiones de adecuación, cláusulas contractuales tipo o normas corporativas vinculantes.

Principio fundamental del RGPD que exige informar a los interesados de manera concisa, inteligible y fácilmente accesible sobre el tratamiento de sus datos. La información debe estar disponible antes o en el momento de la recogida.

Cualquier operación realizada sobre datos personales, ya sea automatizada o manual. Incluye la recogida, registro, organización, almacenamiento, adaptación, consulta, comunicación, difusión o supresión de la información.

Capacidad de seguir el historial de un dato, proceso o acción a través de registros cronológicos completos. Fundamental para auditorías forenses, investigaciones de incidentes y demostraciones de cumplimiento ante autoridades reguladoras.

Modelo fundamental de seguridad de la información compuesto por Confidencialidad, Integridad y Disponibilidad. Es el marco de referencia básico para evaluar y diseñar controles en cualquier organización.

Tecnología que crea una conexión cifrada y segura a través de una red insegura como internet. Permite a los usuarios acceder de forma privada a recursos de red y protege la transmisión de datos frente a interceptaciones.

Debilidad o fallo en un sistema, sus salvaguardas o sus procedimientos que podría ser explotada por una amenaza. Su identificación y gestión proactiva es clave para reducir la exposición al riesgo cibernético.

Modelo de seguridad basado en el principio de “nunca confíes, siempre verifica”. Elimina la confianza implícita dentro de la red corporativa y requiere verificación continua de identidad y autorización para cualquier acceso a recursos.