Medidas de seguridad o de salvaguarda de la información en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 07/02/2019
El RGPD instaura un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.
En la normativa derogada, sin embargo, se establecía detalladamente las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. Pero esto ha cambiado, por cuanto que el Reglamento no establece un listado de las medidas de seguridad que son de aplicación de acuerdo con la tipología de datos objeto de tratamiento, sino que lo que determina es que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleve el tratamiento. Utilizando un símil podríamos decir que se ha pasado de un sistema de "uniformes" a otro de "trajes a medida".
Dicho de otra forma, los riesgos asociados a cada tratamiento será lo que determine las medidas de seguridad a implementar. En consecuencia, resultará necesario realizar la evaluación de los riesgos asociados a cada tratamiento para -en función de los resultados obtenidos de ese necesario análisis previo- implementar las medidas de seguridad que resulten necesarias.
En relación con el análisis de riesgos ya señalamos que este variará dependiendo de varios factores como son -entre otros- la naturaleza de los datos, el número de interesados o los tipos de tratamiento. En todo caso, en función de si el nivel de riesgo es bajo, medio o alto, resultará pertinente adoptar unas u otras medidas.
Pues bien, pese a que el Reglamento no determina detalladamente y de forma exhaustiva un listado concreto de medidas que deban ser implementadas en función del nivel de riesgo, el RGPD si establece -en su art. Art. 32- que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia delas medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Asimismo, y toda vez que las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado, el citado precepto señala que la determinación de las concretas medidas técnicas y organizativas deberá realizarse teniendo en cuenta:
- El estado de la técnica
- Los costes de aplicación
- La naturaleza, el alcance, el contexto y los fines del tratamiento
- Los riesgos de para los derechos y libertades y en particular la probabilidad de que estos sucedan y la gravedad de los mismos
En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Para finalizar resulta necesario incidir en que el análisis de riesgos constituye la piedra angular sobre la que se fundamentará la implementación de las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En consecuencia, algunas medidas solo resultarán aplicables a tratamientos que impliquen un alto riesgo (como sucede con la Evaluación de Impacto sobre la Protección de Datos) y otras deberán de ser implementadas o corregidas al nivel y el tipo de riesgo que el tratamiento conlleve. Por ello, el esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no resulta válido de forma automática tras la fecha de aplicación del RGPD, de forma que en algunos casos será posible continuar aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. Sin embargo, en otras ocasiones resultará completar las medidas existentes con otras adicionales o sustituir alguna de las medidas. Según la AEPD, "Los tratamientos que implican un bajo riesgo para los derechos o libertades de los interesados no requerirían, en principio, medidas de seguridad más complejas que las que actualmente establece el Reglamento de Desarrollo de la LOPD para el nivel básico. El responsable debe asegurarse de que esas medidas se aplican y también valorar si en el caso de los tratamientos que realiza, por ejemplo, por el contexto concreto en que se desarrollan o el tipo de interesados a que se refiere, sería necesaria alguna medida de seguridad distinta o adicional. En este caso, podrían servir como orientación las medidas de nivel medio que se recogen en el Reglamento de la LOPD.", si bien como indicábamos no en todos los casos resultará válido. En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluyen que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado; en otras ocasiones, será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas.
Por su parte la nueva LOPDGDD no amplía lo indicado por el RGPD salvo en lo que respecta a las medidas de seguridad en el ámbito del sector público, indicando en su D.A. 1ª que será el Esquema Nacional de Seguridad el que deba incluir las medidas que deberán implementarse, por parte de los responsables enumerados en el art. 77.1 de la LO, en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, así como impulsar un grado d e implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetos al Derecho privado, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato.
Igualmente se considera lícito el uso de datos seudonimizados con fines de investigación en salud pública y biomédica, siempre que dichos datos únicamente sean accesibles al equipo de investigación y se adopten las medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo, Vivienda y Medioambiente
- Derecho local
- Extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Objeto y ámbito de aplicación
- Sistema de proactividad
- Deber de Información a los afectados
- Glosario de definiciones
- Principios generales relativos al tratamiento
- Bases jurídicas de legitimación de los tratamientos
- Categorías de datos
- Derechos de los interesados y limitaciones
- Responsable del tratamiento
- Encargado del tratamiento
- Registro de Actividades de Tratamiento. Identificación y estructura
- Análisis de riesgos
- Evaluación del impacto
- Delegado de protección de datos
- Medidas de Seguridad ESTOY AQUÍ
- Violación de seguridad (quiebra de seguridad)
- Transferencias internacionales, BCR y Códigos de conducta
- Tratamiento concretos
- Autoridades de Protección de Datos
- Procedimientos en caso de vulneración de la normativa
- Régimen sancionador
- Garantía de los derechos digitales
Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
Ley Orgánica 15/1999 de 13 de Dic (Protección de Datos de Carácter Personal) DEROGADO
Boletín: Boletín Oficial del Estado Número: 298 Fecha de Publicación: 14/12/1999 Fecha de entrada en vigor: 14/01/2000 Órgano Emisor: Jefatura Del Estado
-
Sentencia Administrativo Nº S/S, AN, Sala de lo Contencioso, Sec. 1, Rec 517/2004, 18-05-2006
Orden: Administrativo Fecha: 18/05/2006 Tribunal: Audiencia Nacional Ponente: Sanz Calvo, Lourdes Num. Sentencia: S/S Num. Recurso: 517/2004
-
Sentencia Supranacional Nº C-210/16, TJUE, 05-06-2018
Orden: Supranacional Fecha: 05/06/2018 Tribunal: Tribunal De Justicia De La Union Europea Ponente: Tizzano Num. Sentencia: C-210/16
-
Sentencia Administrativo AN, Sala de lo Contencioso, Sec. 1, Rec 884/2010, 04-10-2012
Orden: Administrativo Fecha: 04/10/2012 Tribunal: Audiencia Nacional Ponente: Sanz Calvo, Maria Luz Lourdes Num. Recurso: 884/2010
-
Sentencia Administrativo Nº S/S, AN, Sala de lo Contencioso, Sec. 1, Rec 560/2004, 22-06-2006
Orden: Administrativo Fecha: 22/06/2006 Tribunal: Audiencia Nacional Ponente: Fernandez Garcia, Maria Jesus Num. Sentencia: S/S Num. Recurso: 560/2004
-
Sentencia Administrativo AN, Sala de lo Contencioso, Sec. 1, Rec 903/2010, 20-06-2012
Orden: Administrativo Fecha: 20/06/2012 Tribunal: Audiencia Nacional Ponente: Buisan Garcia, Maria Nieves Num. Recurso: 903/2010
-
Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 04/02/2019
Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos co...
-
Ciclo de vida de los datos en materia de protección de datos
Orden: Administrativo Fecha última revisión: 04/02/2019
En un análisis de riesgos global, las actividades de tratamiento se agrupan por procesos comunes expuestos a riesgos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto. La descripción de los tratamientos...
-
Contenido y metodología de la Evaluación de impacto según el RGPD
Orden: Administrativo Fecha última revisión: 04/02/2019
A la hora de realizar una EIPD, se debe disponer de una metodología que considere los requerimientos exigidos por el RGPD que a grosso modo establece que deberá incluir como mínimo:Una descripción sistemática de la actividad de tratamiento previ...
-
Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 30/01/2019
El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...
-
Delito de acceso no autorizado a programas informáticos
Orden: Penal Fecha última revisión: 20/12/2012
Se busca con el castigo de estos delitos, proteger a los titulares de un sistema informático de aquellos que acceden al mismo de forma no autorizada, con independencia de si se produce o no algún daño o perjuicio al sistema o al titular del equip...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO ENTRE ENCARGADO DE TRATAMIENTO Y SUBENCARGADOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO]De una parte, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
Formulario de contrato de encargo de tratamiento entre dos abogados (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCERODe una parte, [NOMBRE] (en adelante, RESPONSABLE del tratamiento), con domicilio profesional en la calle [CALLE], con DNI [DNI], que comparece en su propio nombre y representación.Y de...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Formulario de contrato de prestación de servicios como encargado de tratamiento en ámbito médico (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Contrato de prestación de servicios como Encargado de tratamiento en el ámbito médico En [LOCALIDAD], a [DIA] de [MES] de [ANIO]REUNIDOSDE UNA PARTE:D./Dña. [NOMBRE], mayor de edad, estado civil soltero, con domicilio en C/ [CALLE] y con N.I.F. ...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 16/04/2018
-
Análisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)
Fecha última revisión: 21/04/2016
-
Caso práctico: ¿Puede una empresa de gestión de deuda ponerse en contacto con mis familiares o amigos?
Fecha última revisión: 23/05/2018
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal gar...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada ...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) (25/05/2018) implicará, para aquellas empresas u organizaciones que tratan datos, la realización de un nece...
PLANTEAMIENTOAnálisis jurisprudencial sobre el uso de cámaras ocultas para controlar la actividad laboral. Poder de dirección y control del empresario y Agencia Española de Protección de Datos (AEPD)Del análisis de las distintas sentencias que ...
PLANTEAMIENTOUn familiar ha recibido una llamada telefónica de una empresa de gestión de cobro, preguntando por mí. ¿ Pueden hacerlo, o esta llamada constituye una vulneración de la normativa de protección de datos personales?RESPUESTARespecto ...
-
RESOLUCION de 23 de junio de 2000, de la Direccion General del Catastro, por la que se aprueba el documento de seguridad del fichero de SIGECA en aplicacion del reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de caracter personal.
Órgano: Direccion General Del Catastro Fecha: 23/06/2000
-
Resolución No Vinculante de DGT, 1055-01, 31-05-2001
Órgano: Sg De Impuestos Sobre La Renta De Las Personas Físicas Fecha: 31/05/2001 Núm. Resolución: 1055-01
-
Resolución Vinculante de DGT, V1169-12, 29-05-2012
Órgano: Sg De Impuestos Sobre El Consumo Fecha: 29/05/2012 Núm. Resolución: V1169-12
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 24/01/2013
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 28/04/2014
-
Adaptación LOPDGDD. Paso a paso
- Autores: V.V.A.A.
- Publicación: 18/02/2019
- Desde 19.95€
-
Curso online adaptación a la LOPDGDD para Pymes con formularios
- Autores: V.V.A.A.
- Desde 90.75€
-
Código LOPD-GDD y RGPD
- Autor: Editorial Colex, S.L.
- Publicación: 01/01/2019
- Desde 5.9€
