Medidas de seguridad o de salvaguarda de la información en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 07/02/2019
El RGPD instaura un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.
En la normativa derogada, sin embargo, se establecía detalladamente las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. Pero esto ha cambiado, por cuanto que el Reglamento no establece un listado de las medidas de seguridad que son de aplicación de acuerdo con la tipología de datos objeto de tratamiento, sino que lo que determina es que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleve el tratamiento. Utilizando un símil podríamos decir que se ha pasado de un sistema de "uniformes" a otro de "trajes a medida".
Dicho de otra forma, los riesgos asociados a cada tratamiento será lo que determine las medidas de seguridad a implementar. En consecuencia, resultará necesario realizar la evaluación de los riesgos asociados a cada tratamiento para -en función de los resultados obtenidos de ese necesario análisis previo- implementar las medidas de seguridad que resulten necesarias.
En relación con el análisis de riesgos ya señalamos que este variará dependiendo de varios factores como son -entre otros- la naturaleza de los datos, el número de interesados o los tipos de tratamiento. En todo caso, en función de si el nivel de riesgo es bajo, medio o alto, resultará pertinente adoptar unas u otras medidas.
Pues bien, pese a que el Reglamento no determina detalladamente y de forma exhaustiva un listado concreto de medidas que deban ser implementadas en función del nivel de riesgo, el RGPD si establece -en su art. Art. 32- que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia delas medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Asimismo, y toda vez que las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado, el citado precepto señala que la determinación de las concretas medidas técnicas y organizativas deberá realizarse teniendo en cuenta:
- El estado de la técnica
- Los costes de aplicación
- La naturaleza, el alcance, el contexto y los fines del tratamiento
- Los riesgos de para los derechos y libertades y en particular la probabilidad de que estos sucedan y la gravedad de los mismos
En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Para finalizar resulta necesario incidir en que el análisis de riesgos constituye la piedra angular sobre la que se fundamentará la implementación de las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En consecuencia, algunas medidas solo resultarán aplicables a tratamientos que impliquen un alto riesgo (como sucede con la Evaluación de Impacto sobre la Protección de Datos) y otras deberán de ser implementadas o corregidas al nivel y el tipo de riesgo que el tratamiento conlleve. Por ello, el esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no resulta válido de forma automática tras la fecha de aplicación del RGPD, de forma que en algunos casos será posible continuar aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. Sin embargo, en otras ocasiones resultará completar las medidas existentes con otras adicionales o sustituir alguna de las medidas. Según la AEPD, "Los tratamientos que implican un bajo riesgo para los derechos o libertades de los interesados no requerirían, en principio, medidas de seguridad más complejas que las que actualmente establece el Reglamento de Desarrollo de la LOPD para el nivel básico. El responsable debe asegurarse de que esas medidas se aplican y también valorar si en el caso de los tratamientos que realiza, por ejemplo, por el contexto concreto en que se desarrollan o el tipo de interesados a que se refiere, sería necesaria alguna medida de seguridad distinta o adicional. En este caso, podrían servir como orientación las medidas de nivel medio que se recogen en el Reglamento de la LOPD.", si bien como indicábamos no en todos los casos resultará válido. En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluyen que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado; en otras ocasiones, será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas.
Por su parte la nueva LOPDGDD no amplía lo indicado por el RGPD salvo en lo que respecta a las medidas de seguridad en el ámbito del sector público, indicando en su D.A. 1ª que será el Esquema Nacional de Seguridad el que deba incluir las medidas que deberán implementarse, por parte de los responsables enumerados en el art. 77.1 de la LO, en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, así como impulsar un grado d e implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetos al Derecho privado, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato.
Igualmente se considera lícito el uso de datos seudonimizados con fines de investigación en salud pública y biomédica, siempre que dichos datos únicamente sean accesibles al equipo de investigación y se adopten las medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Objeto y ámbito de aplicación
- Sistema de proactividad
- Deber de Información a los afectados
- Glosario de definiciones
- Principios generales relativos al tratamiento
- Bases jurídicas de legitimación de los tratamientos
- Categorías de datos
- Derechos de los interesados y limitaciones
- Responsable del tratamiento
- Encargado del tratamiento
- Registro de Actividades de Tratamiento. Identificación y estructura
- Análisis de riesgos
- Evaluación del impacto
- Delegado de protección de datos
- Medidas de Seguridad ESTOY AQUÍ
- Violación de seguridad (quiebra de seguridad)
- Transferencias internacionales, BCR y Códigos de conducta
- Tratamiento concretos
- Autoridades de Protección de Datos
- Procedimientos en caso de vulneración de la normativa
- Régimen sancionador
- Garantía de los derechos digitales
- Medidas, subvenciones y restricciones COVID-19 por CCAA
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
- Responsabilidad de la Administración Pública por negligencias médicas
Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
Ley Orgánica 15/1999 de 13 de Dic (Protección de Datos de Carácter Personal) DEROGADO
Boletín: Boletín Oficial del Estado Número: 298 Fecha de Publicación: 14/12/1999 Fecha de entrada en vigor: 14/01/2000 Órgano Emisor: Jefatura Del Estado
-
Sentencia Administrativo Nº S/S, AN, Sala de lo Contencioso, Sec. 1, Rec 517/2004, 18-05-2006
Orden: Administrativo Fecha: 18/05/2006 Tribunal: Audiencia Nacional Ponente: Sanz Calvo, Lourdes Num. Sentencia: S/S Num. Recurso: 517/2004
-
Sentencia Supranacional Nº C-210/16, TJUE, 05-06-2018
Orden: Supranacional Fecha: 05/06/2018 Tribunal: Tribunal De Justicia De La Union Europea Ponente: Tizzano Num. Sentencia: C-210/16
-
Sentencia ADMINISTRATIVO Nº 196/2021, TS, Sala de lo Contencioso, Sec. 3, Rec 1916/2020, 15-02-2021
Orden: Administrativo Fecha: 15/02/2021 Tribunal: Tribunal Supremo Ponente: Calvo Rojas, Eduardo Num. Sentencia: 196/2021 Num. Recurso: 1916/2020
-
Sentencia ADMINISTRATIVO AN, Sala de lo Contencioso, Sec. 1, Rec 263/2017, 20-09-2019
Orden: Administrativo Fecha: 20/09/2019 Tribunal: Audiencia Nacional Ponente: Buisán García, María Nieves Num. Recurso: 263/2017
-
Sentencia Administrativo AN, Sala de lo Contencioso, Sec. 1, Rec 884/2010, 04-10-2012
Orden: Administrativo Fecha: 04/10/2012 Tribunal: Audiencia Nacional Ponente: Sanz Calvo, Maria Luz Lourdes Num. Recurso: 884/2010
-
Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 04/02/2019
Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos co...
-
Ciclo de vida de los datos en materia de protección de datos
Orden: Administrativo Fecha última revisión: 04/02/2019
En un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto. La descripción de los tratamientos...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 03/02/2020
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...
-
Contenido y metodología de la Evaluación de impacto según el RGPD
Orden: Administrativo Fecha última revisión: 04/02/2019
A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...
-
Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 30/01/2019
El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO ENTRE ENCARGADO DE TRATAMIENTO Y SUBENCARGADOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO]De una parte, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
Formulario de contrato de encargo de tratamiento entre dos abogados (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCERODe una parte, [NOMBRE] (en adelante, RESPONSABLE del tratamiento), con domicilio profesional en la calle [CALLE], con DNI [DNI], que comparece en su propio nombre y representación.Y de...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Formulario de contrato de prestación de servicios como encargado de tratamiento en ámbito médico (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Contrato de prestación de servicios como Encargado de tratamiento en el ámbito médico En [LOCALIDAD], a [DIA] de [MES] de [ANIO]REUNIDOSDE UNA PARTE:D./Dña. [NOMBRE], mayor de edad, estado civil soltero, con domicilio en C/ [CALLE] y con N.I.F. ...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
Caso práctico: En caso de que un accidente se deba a faltas de medidas de seguridad ¿Qué recargo deberá abonar el empresario?
Fecha última revisión: 11/06/2019
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 16/04/2018
-
Análisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)
Fecha última revisión: 21/04/2016
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal gar...
CASO PRÁCTICOEn caso de que un accidente se deba a faltas de medidas de seguridad ¿Qué recargo deberá abonar el empresario?RESPUESTAEl art. 164 Ley General de la Seguridad Social, establece que todas las prestaciones económicas que tengan su cau...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada ...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) (25/05/2018) implicará, para aquellas empresas u organizaciones que tratan datos, la realización de un nece...
PLANTEAMIENTOAnálisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)Del análisis de las distintas sentencias que ...
-
RESOLUCION de 23 de junio de 2000, de la Direccion General del Catastro, por la que se aprueba el documento de seguridad del fichero de SIGECA en aplicacion del reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de caracter personal.
Órgano: Direccion General Del Catastro Fecha: 23/06/2000
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Instrucción de 31 de julio de 2019, de la Dirección General de los Registros y del Notariado, sobre el uso de las plataformas telemáticas para la preparación del acta de información previa y la escritura de préstamo hipotecario, en aplicación de la Ley 5/2019, de 15 de marzo, reguladora de los contratos de crédito inmobiliario.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 01/08/2019
-
Resolución No Vinculante de DGT, 1055-01, 31-05-2001
Órgano: Sg De Impuestos Sobre La Renta De Las Personas Físicas Fecha: 31/05/2001 Núm. Resolución: 1055-01
-
Resolución Vinculante de DGT, V1169-12, 29-05-2012
Órgano: Sg De Impuestos Sobre El Consumo Fecha: 29/05/2012 Núm. Resolución: V1169-12
-
Tratamiento de datos de carácter personal en el ámbito policial
- Autores: V.V.A.A.
- Publicación: 29/01/2021
- Desde 38€
-
Código LOPD-GDD y RGPD
- Autor: Editorial Colex, S.L.
- Publicación: 24/02/2020
- Desde 6.6€
-
CURSO SOBRE EL ANÁLISIS DE LA ENTRADA Y REGISTRO EN EL DOMICILIO DEL CONTRIBUYENTE
- Desde 36.24€
