Medidas de seguridad o de salvaguarda de la información en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 18/06/2018

El RGPD instaura un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán de establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

 

El RGPD instaura un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán de establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

En la normativa derogada, sin embargo, se establecía detalladamente las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. Pero esto ha cambiado, por cuanto que el Reglamento no establece un listado de las medidas de seguridad que son de aplicación de acuerdo con la tipología de datos objeto de tratamiento, sino que lo que determina es que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleva el tratamiento. Utilizando un símil podríamos decir que se ha pasado de un sistema de “uniformes” a otro de “trajes a medida”.

Dicho de otra forma, los riesgos asociados a cada tratamiento será lo que determine las medidas de seguridad a implementar. En consecuencia, resultará necesario realizar la evaluación de los riesgos asociados a cada tratamiento para -en función de los resultados obtenidos de ese necesario análisis previo- implementar las medidas de seguridad que resulten necesarias.

En relación con el análisis de riesgos ya señalamos que este variará dependiendo de varios factores como son -entre otros- la naturaleza de los datos, el número de interesados o los tipos de tratamiento. En todo caso, en función de si el nivel de riesgo es bajo, medio o alto, resultará pertinente adoptar unas u otras medidas.

Pues bien, pese a que el Reglamento no determina detalladamente y de forma exhaustiva un listado concreto de medidas que deban ser implementadas en función del nivel de riesgo, el RGPD si establece -en su art. Art. 32- que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  • a) la seudonimización y el cifrado de datos personales;
  • b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
  • d) un proceso de verificación, evaluación y valoración regulares de la eficacia delas medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Asimismo, y toda vez las medidas de seguridad deben de resultar adecuadas y proporcionadas al riesgo detectado, el citado precepto señala que la determinación de las concretas medidas técnicas y organizativas deberá de realizarse teniendo en cuenta:

  • El estado de la técnica
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines del tratamiento
  • Los riesgos de para los derechos y libertades y en particular la probabilidad de que estos sucedan y la gravedad de los mismos

En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Para finalizar resulta necesario incidir en que el análisis de riesgos constituye la piedra angular sobre la que se fundamentará la implementación de las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En consecuencia, algunas medidas solo resultará aplicables a tratamientos que impliquen un alto riesgo (como sucede con la Evaluación de Impacto sobre la Protección de Datos) y otras deberán de ser implementadas o corregidas al nivel y el tipo de riesgo que el tratamiento conlleve. Por ello, el esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no resulta válido de forma automática tras la fecha de aplicación del RGPD, de forma que en algunos casos será posible continuar aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. Sin embargo, en otras ocasiones resultará completar las medidas existentes con otras adicionales o sustituir alguna de las medidas.

No hay versiones para este comentario

Medidas de seguridad
Protección de datos
Encargado del tratamiento
Análisis de riesgo
Datos personales
Evaluación de riesgos
Anonimización de datos
Acceso a datos personales
Seguridad del tratamiento de datos
Tratamiento de datos personales
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Ciclo de vida de los datos en el RGPR

    Orden: Administrativo Fecha última revisión: 18/06/2018

    En los casos en que no resulta necesario realizar la Evaluación de impacto se puede realizar en un análisis de riesgos global, de forma que las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que si...

  • Encargado del tratamiento de datos de carácter personal en el RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    Según el apdo. 8 del Art. 4 el «encargado del tratamiento» o «encargado» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamientoNOVEDADES: Real Decr...

  • Delito de acceso no autorizado a programas informáticos

    Orden: Penal Fecha última revisión: 20/12/2012

    Se busca con el castigo de estos delitos, proteger a los titulares de un sistema informático de aquellos que acceden al mismo de forma no autorizada, con independencia de si se produce o no algún daño o perjuicio al sistema o al titular del equip...

  • Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces...

  • Responsabilidad del responsable del tratamiento de datos en el RGPD.

    Orden: Administrativo Fecha última revisión: 19/06/2018

    La responsabilidad del responsable del tratamiento se especifica en el art. 42, ;RGPD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se ponen de manifiesto a lo largo del texto normativo. Sin perjuicio de...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados