Medidas de seguridad en el RGPD

En el antiguo ordenamiento jurídico, relativo a la privacidad y la protección de los datos personales, se hacía referencia a una serie de medidas de seguridad más o menos concretas, que permitían a los responsables del tratamiento y los interesados, saber cuales eran las medidas que tenían que poner en marcha para proteger la información.

El RGPD, es un poco más inconcreto en este sentido y simplemente hace una indicación en el artículo 5, apartado f) del RGPD, donde se establece como uno de los principios relativos al tratamiento el Principio de Integridad y Confidencialidad, disponiendo que los datos serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.

Para garantizar el cumplimiento de este principio, el RGPD incluye las disposiciones relativas a la aplicación de medidas técnicas u organizativas apropiadas que garanticen la seguridad de los datos en el Capítulo IV (Responsable del tratamiento y encargado del tratamiento) que incluye los siguientes apartados.

  1. Obligaciones generales
  2. Seguridad de los datos personales
  3. Evaluación de impacto relativa a la protección de datos y consulta previa
  4. Delegado de protección de datos
  5. Códigos de conducta y certificación

En realidad, todo el RGPD es una recopilación de medidas de seguridad y aunque no aparecen indicadas de forma directa en ningún apartado concreto, si que existen diversas indicaciones de estas medias de seguridad. Vamos a ver las más importantes:

Responsabilidad del tratamiento (artículo 24)

El Responsable del Tratamiento, deberá aplicar en todo momento, medidas de protección proporcionadas en relación con las actividades del tratamiento que lleva a cabo e implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento del Reglamento, teniendo en cuenta la naturaleza, ámbito, contexto, y fines del tratamiento.

Protección de datos desde el diseño y por defecto (artículo 25)

El Responsable del Tratamiento deberá garantizar desde el diseño y por defecto, durante todas las fases del tratamiento, la aplicación efectiva de los principios de protección de datos a todos datos personales tratados, así como al plazo de conservación y a su accesibilidad:

  1. Que el tratamiento se realice para fines específicos, o sea, recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
  2. La minimización de datos, siendo adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
  3. La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos.
  4. La protección de los derechos del interesado.
  5. Que los datos no sean accesibles, sin la intervención humana, a un número indeterminado de personas.
  6. La aplicación de los resultados de la evaluación de impacto.

El Responsable del tratamiento podrá utilizar los mecanismos de certificación establecidos en el Reglamento (artículo 42) para demostrar la protección de los datos desde el diseño y por defecto.

Seguridad del tratamiento (artículo 32)

El Responsable y el Encargado del Tratamiento deberán implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.

Se aplicarán, según corresponda la probabilidad y gravedad del riesgo que entrañe del tratamiento, las siguientes medidas:

  1. La seudonimización y el cifrado de datos personales.
  2. Ser capaces de garantizar la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios del tratamiento.
  3. Garantizar que el personal autorizado realizará el tratamiento siguiendo las instrucciones del Responsable o Encargado del tratamiento o por una obligación legal.
  4. Restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de un incidente físico o técnico.
  5. La eficacia continua, mediante la implantación de procesos de verificación, evaluación y valoración de las medidas de seguridad adoptadas.

El Responsable o Encargado del Tratamiento podrán utilizar la adhesión a los Códigos de conducta o mecanismos de Certificación establecidos en el Reglamento para demostrar la implantación de las medidas de seguridad.

Brechas de la seguridad de los datos (artículos 33 y 34)

El Responsable y el Encargado del Tratamiento deben tomar suficientes medidas para prevenir daños o perjuicios a interesados o terceros en el transcurso del tratamiento de datos, tales como la pérdida de control sobre sus datos personales o la restricción de sus derechos, discriminación, usurpación de identidad, etc o cualquier otro perjuicio económico o social significativo para la persona física.

También obliga al Responsable del Tratamiento a notificar dichas violaciones a la Autoridad de Control (Agencia de Protección de Datos) en un máximo de 72 horas e incluso a comunicarlas a los interesados afectados si se prevé que la incidencia pueda entrañar un alto riesgo para sus derechos y libertades.

Evaluación de impacto relativa a la protección de datos (artículo 35)

El Responsable del Tratamiento será el encargado de evaluar el origen, la naturaleza, la particularidad y la importancia de los riesgos del tratamiento y de diseñar medidas adecuadas para mitigarlos y garantizar la protección de datos, habida cuenta de la tecnología disponible y los costes de aplicación. Para ello, el Responsable del Tratamiento deberá realizar una evaluación de impacto en los siguientes casos:

  1. Se utilicen nuevas tecnologías y si naturaleza, alcance, contexto o fines del tratamiento prevean un alto riesgo.
  2. El tratamiento se base en una elaboración de perfiles que puedan afectar significativamente a los interesados con efectos jurídicos o de algún otro modo.
  3. Se traten datos relativos a condenas y delitos penales.
  4. Exista un tratamiento a gran escala basado en la observación sistemática de una zona de acceso público o en categorías especiales de datos.

Como vemos, si bien no existe un apartado concreto donde se determinen de forma exacta cuales son las medidas de seguridad a implantar para un adecuado tratamiento de los datos personales, si que durante todo el texto se van haciendo indicaciones sobre las mismas.

Eso supone algo más de trabajo para el Responsable del Tratamiento, que no tiene una guía clara, pero si que permite que cada entidad pueda establecer sus medidas de seguridad concretas y adecuadas.

Es decir, ya no existen las uniformidades y por tanto, las medidas siempre serán las adecuadas a cada entidad.

Créditos de la imagen: Photo by Visual Content on Foter.com

guest
0 Comentarios
Inline Feedbacks
View all comments