Medidas de seguridad o de salvaguarda de la información en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
El RGPD instaura un sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.
Cabe recordar que una de las características fundamentales de la regulación en materia de protección de datos es el mandato de conducta proactiva, comportamiento que han de intentar presentar todas aquellas entidades que actúen como operadoras en el tratamiento de datos personales de los interesados, adelantándose a los posibles acontecimientos negativos que pueden ocurrir respecto a la seguridad de información y la protección de los intereses de las personas cuyos datos ostentan y manejan.
Pues bien, de entre todos los factores que configuran la conducta proactiva del responsable, uno de los más importantes es la implantación de medidas de seguridad que sean necesarias para la salvaguarda de los derechos y libertades de los interesados.
Recoge tanto el propio artículo 24 del RGPD —que obliga al responsable a aplicar medidas técnicas y organizativas que garanticen el tratamiento de datos conforme al RGPD—, como el artículo 28, apartado 3, letra c) del RGPD que el tratamiento de datos realizado por el encargado, regido siempre por un contrato u acto jurídico conforme al derecho de la UE o de los Estados miembros, debe estipular que el encargado tomará todas las medidas necesarias en materia de seguridad del tratamiento y ayudar al responsable en su cumplimiento.
Asimismo, el artículo 40, apartado 2, letra h), del RGPD ordena que las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del mencionado reglamento en lo que respecta también a las medidas para garantizar la seguridad del tratamiento de datos.
A TENER EN CUENTA. Las medidas de seguridad serán incluidas dentro de la EIPD [art. 35.7 d) del RGPD] y su adopción será un factor determinante a la hora de imponer multas administrativas a los encargados y responsables del tratamiento ya que su responsabilidad se valorará según las medidas que estos hayan adoptado durante sus funciones [art. 83.2 d) del RGPD].
Catálogo de medidas de seguridadPara saber qué tipo de medidas se deben diseñar e implantar primero deben conocerse el conjunto de amenazas y riesgos que se encuentran en la órbita de los tratamientos que se pretenden realizar. Es el artículo 32, apartado 1, del RGPD quien ofrece una relación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que podrán ser adoptadas y aplicadas por el responsable y el encargado del tratamiento. Estas son:
1. La seudonimización y el cifrado de datos personales.
Como establece el artículo 4 del RGPD, la seudonimización consiste en el tratamiento de datos personales cuya atribución a un interesado requiera de información adicional que figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona identificada o identificable.
Como dispone la AEPD, en su Guía sobre Orientaciones y garantías en los procedimientos de anonimización de datos personales, la seudonimización es una herramienta utilizada para garantizar la privacidad de los datos personales, y sus limitaciones son inherentes al avance de la tecnología.
Los tratamientos para los que suele ser adecuada la implantación de este tipo de medidas es para aquellos en los que estén involucrados datos de alta sensibilidad, así como datos de menores o personas en situación de vulnerabilidad. Evidentemente, nada impide la implantación de la medida ante tratamientos de datos personales con un menor nivel de exigencia de tutela (datos básicos de correo electrónico, número de teléfono o nombre).
El funcionamiento de este tipo de medidas tiene que ver con imponer barreras de acceso no autorizado a los ficheros, tanto físicos como electrónicos, en los que se alojen los datos. Ello puede lograrse mediante contraseñas de acceso, patrones de bloqueo o comprobación de credenciales de acceso a través de un sistema diseñado a tal efecto. Asimismo, por lo que se refiere a la seudonimización en sentido concreto, se utiliza para el tratamiento de datos personales en los que no es necesario mantener un nexo identificativo entre el interesado y el dato que se está tratando. Puede configurarse en torno a la asignación de un nombre o apodo alternativo al nombre real del interesado o sustituir los datos por cifras sin sentido aparente o nexo identificativo.
CUESTIÓN
¿En qué se diferencian la seudonimización y la anonimización?
La anonimización se ejecuta alterando de forma irreversible los datos del interesado, dejando de ser identificable directa o indirectamente. Por su parte, la seudonimización permite cambiar los datos originales por un seudónimo, siendo un proceso reversible que permitirá identificar de nuevo al interesado si fuera necesario.
En este punto también es importante citar la D.A. 17.ª, apartado 2, letra d), 2.º, ii) de la LOPDGDD, ya que respecto al uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica, requiere que sean accesibles al equipo de investigación cuando se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados, aunque podrá procederse a la reidentificación de los datos en su origen cuando en la investigación que se utilicen esos datos seudonimizados se aprecie riesgo real y concreto para la seguridad, salud o derecho del interesado.
2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
Se pretende establecer la necesidad de monitorización y vigilancia constante de las políticas internas de protección de datos de los operadores de los datos. En efecto, cualquier sistema que adapte una entidad a la normativa sobre protección de datos debe procurar la tutela de la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento. Se trata de una medida configurada en torno a un sistema activo, en constante evolución y adaptación a las nuevas realidades que se produzcan.
3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
Medida técnica y organizativa de gran relevancia que tiene que ver con la disponibilidad de los datos personales que son objeto de tratamiento. De nada sirve poner en práctica diferentes tratamientos si, ante una situación negativa, no es posible recuperar o localizar los datos que son objeto del mismo.
Un ejemplo sobre esta medida: se traspapela un documento, ya sea físico o digital, o se pierde el soporte físico en el que se encontraban almacenados los datos (un disco duro, pen drive).
CUESTIÓN
En mi empresa se ha producido un incendio en la sala de archivo de documentación, habiéndose calcinado el conjunto de expedientes que allí estaban almacenados, así como algunos discos duros que se encontraban en el mismo recinto. ¿Qué medidas debía haber tomado para evitar este incidente?
En realidad, lo importante de cara a la protección de datos no debe centrarse en las medidas técnicas de prevención de catástrofes naturales o industriales, como los incendios, sino en la evitación de que dichos eventos dañosos puedan dañar la integridad de los datos que se integran en los tratamientos que se deben proteger.
De este modo, las medidas de seguridad necesarias en este tipo de coyunturas pasan por la implantación de una política de papel cero, digitalizando al máximo la documentación física de la que se disponga, al objeto de introducir sistemas de copias de seguridad de la información. Con ello, debemos mantener diferentes puntos de almacenamiento, a nivel servidor o soporte externo (por ejemplo, discos duros), de modo que se mantengan copias de la información en localizaciones ajenas a la propia entidad. De este modo, cada vez que se recopile y almacene información, se debe realizar una copia de seguridad en destinos alternativos.
4. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Con la implantación de este tipo de procesos, en realidad, lo que se está determinando es la necesidad de incorporar procedimientos de auditoría que sirvan para evaluar el grado de cumplimiento y la eficacia de las medidas de seguridad implantadas. Cada entidad deberá valorar si es preferible externalizar o internalizar esta función, de acuerdo con sus estructura y necesidades, siempre a la luz del principio de proporcionalidad.
¿Qué aspectos deben tenerse en cuenta en la adecuación del nivel seguridad?Como bien indica el citado artículo 32, apartado 2, del RGPD, a la hora de evaluar la adecuación del nivel de seguridad, se tendrán en cuenta:
- La técnica.
- Los costes de aplicación.
- La naturaleza, el alcance, el contexto y los fines del tratamiento.
- Los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
- Los riesgos que presente el tratamiento de datos como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma o la comunicación o acceso no autorizados a esos datos.
Los requisitos anteriores se entienden cumplidos si se ha producido adhesión a un código de conducta (siguiendo las pautas del artículo 40 del RGPD) o a un mecanismo de certificación (conforme a lo regulado en el artículo 42 del RGPD).
A TENER EN CUENTA. El artículo 30, apartado 1, letra g), del RGPD establece que cada responsable o su representante deben llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, conteniendo, siempre que sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que recoge el artículo 32, apartado 1, del RGPD. Por su parte, este artículo concluye en su apartado 4 que «el responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros».
Medidas de seguridad por la LOPDGDDComo se ha indicado es el RGPD el que hace relación expresa de las medidas que se pueden adoptar en materia de seguridad en el tratamiento de datos. No obstante, es importante citar que en la LOPDGDD también se presentan una serie de medidas:
- Medidas de seguridad en el ámbito del sector público (D.A. 1.ª de la LOPDGDD): el Esquema Nacional de Seguridad (ENS) debe incluir medidas a implantar en casos de tratamiento de datos personales; así mismo, los responsables del artículo 77, apartado 1, de la LOPDGDD deben aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el ENS; en los regímenes de concesión, las medidas de seguridad serán las de la Administración de origen ajustándose al ENS.
A TENER EN CUENTA. El apartado 1 del art. 77 de la LOPDGDD hace una distinción cuando los responsables o encargados de datos sean órganos constitucionales, órganos jurisdiccionales, Administraciones públicas, organismos públicos, entidades de derecho público, el Banco de España, fundaciones del sector público, universidades públicas, consorcios, grupos parlamentarios, etc.
- Tratamiento de datos personales en relación con la notificación de incidentes de seguridad (D.A. 9.ª de la LOPDGDD): «cuando (...) deban notificarse incidentes de seguridad, las autoridades públicas competentes, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad, podrán tratar los datos personales contenidos en tales notificaciones, exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta ante incidentes y adoptando las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo determinado».
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Objeto y ámbito de aplicación
- Sistema de proactividad
- Deber de Información a los afectados
- Glosario de definiciones
- Principios generales relativos al tratamiento
- Bases jurídicas de legitimación de los tratamientos
- Categorías de datos
- Derechos de los interesados y limitaciones
- Aspectos comunes del responsable y el encargado de tratamiento de datos
- Registro de Actividades de Tratamiento. Identificación y estructura
- Análisis de riesgos
- Evaluación del impacto
- Delegado de protección de datos
- Medidas de Seguridad ESTOY AQUÍ
- Violación de seguridad (quiebra de seguridad)
- Transferencias internacionales, BCR y Códigos de conducta
- Autoridades de Protección de Datos
- Procedimientos en caso de vulneración de la normativa
- Régimen sancionador
- Garantía de los derechos digitales
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional Nº C-210/16, TJUE, 05-06-2018
Orden: Supranacional Fecha: 05/06/2018 Tribunal: Tribunal De Justicia De La Union Europea Ponente: Tizzano Num. Sentencia: C-210/16
-
Sentencia Supranacional Nº C-272/19, TJUE, 09-07-2020
Orden: Supranacional Fecha: 09/07/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-272/19
-
Sentencia Supranacional Nº C-620/19, TJUE, 10-12-2020
Orden: Supranacional Fecha: 10/12/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-620/19
-
Sentencia Supranacional Nº C-175/20, TJUE, 24-02-2022
Orden: Supranacional Fecha: 24/02/2022 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-175/20
-
Gestión de riesgos y EIPD en un despacho de abogados o procuradores
Orden: Administrativo Fecha última revisión: 11/02/2022
El artículo 32 del RGPD indica que el responsable o encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo y teniendo en cuenta:El estado de la técnica.Los costes ...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 21/05/2021
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).Registro de activi...
-
Principio de confidencialidad en la LOPDGDD y en el RGPD
Orden: Administrativo Fecha última revisión: 01/06/2021
El artículo 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad. Ya en la LOPDGDD se establece el deber de confidencialidad de los datos en su artículo 5.El deber de con...
-
Registro de actividades de tratamiento (protección de datos en comunidades de propietarios)
Orden: Administrativo Fecha última revisión: 08/07/2021
La categoría de responsable del tratamiento de datos conlleva una serie de obligaciones como son:Llevanza de un registro de actividades de tratamiento.Adopción de medidas técnicas y organizativas orientadas a garantizar un nivel de seguridad adecu...
-
La protección de datos para los profesionales del derecho
Orden: Administrativo Fecha última revisión: 15/02/2022
Son dos las normas principales que regulan el tratamiento de datos personales:Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE ENCARGADO/A DE TRATAMIENTO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [NOMBRE], mayor de edad, con con ...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
CONTRATO ENTRE ENCARGADO DEL TRATAMIENTO Y SUBENCARGADO DEL TRATAMIENTOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y de otra, D./Dña. [...
-
Formulario de contrato de prestación de servicios como encargado de tratamiento en ámbito médico (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
CONTRATO DE PRESTACIÓN DE SERVICIOS COMO ENCARGADO DE TRATAMIENTO EN EL ÁMBITO MÉDICO En [LOCALIDAD], a [DIA] de [MES] de [ANIO] REUNIDOS De una parte, D./Dña. [NOMBRE], mayor de edad, con NIF n.º [NÚMERO] y domicilio en [DIRECCIÓN].Y ...
-
Modelo básico de consentimiento para el tratamiento de datos. Asesorías. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 01/06/2022
Responsable: [NOMBRE_EMPRESA] - NIF: [NÚMERO]Teléfono de contacto: [NÚM_TLF]- Correo electrónico: [CORREO_ELECTRÓNICO]Dirección: [DOMICILIO]Delegado de protección de datos: (1)Asunto: CONSENTIMIENTO EXPRESO PARA EL TRATAMIENTO DE DATOS DE CAR...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 31/05/2022
Responsable: [NOMBRE_EMPRESA] - NIF: [NÚMERO] Teléfono: [NÚM_TLF] - Correo electrónico: [CORREO_ELECTRÓNICO]Dirección postal: [DOMICILIO]Delegado de protección de datos: (1)Asunto: CLÁUSULA DE CONSENTIMIENTO CON TRANSFERENCIA INTERNACIONAL D...
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: Cancelación de historia clínica con motivo de reasignación de género
Fecha última revisión: 07/06/2022
-
Caso práctico: Retirada de contenidos de internet relacionados con violencia de género o menores
Fecha última revisión: 07/06/2022
-
Caso práctico: Consulta a fichero de morosos con motivo de un proceso de selección de personal sin consentimiento del candidato
Fecha última revisión: 07/06/2022
-
Caso práctico: Instalación de cámaras de vigilancia en un edificio
Fecha última revisión: 01/06/2022
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOSe plantea la posibilidad de cancelar la historia clínica de una persona que se ha sometido a una reasignación de género en lo referente a tratamiento psicológico, hormonal y quirúrgico.RESPUESTANo es posible proceder a la cancelac...
PLANTEAMIENTOSe plantea cómo retirar imágenes relacionadas con un episodio de violencia de género cuya difusión en redes sociales no ha sido autorizada.RESPUESTALa imagen es un dato personal [artículo 4, punto 14, del Reglamento (UE) 2016/679 ...
PLANTEAMIENTO¿Es posible consultar si una persona está incluida en un fichero de morosos con base en un proceso de selección de personal sin consentimiento del candidato?RESPUESTALa respuesta es no. Los ficheros de morosos existen con unas finalid...
PLANTEAMIENTOPara instalar cámaras de seguridad en un edificio, ¿qué legislación hay que seguir?RESPUESTALa normativa aplicable a la instalación de cámaras de seguridad es variada: por un lado, es de aplicación la existente en relación con la...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 24/01/2013
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014
-
Resolución de 20 de septiembre de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación extendida por el registrador de la propiedad de Las Palmas de Gran Canaria n.º 5, por la que se rechaza la expedición de la información solicitada.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 20/09/2013