1. Inicio
  2. Temas
  3. Administrativo
  4. 2019

Medidas de seguridad o de salvaguarda de la información en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

El RGPD instaura un nuevo sistema de protección de datos basado en la responsabilidad proactiva. En este sentido, el nuevo sistema determina que serán los responsables y encargados los que deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo, para garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.

 

En la normativa derogada, sin embargo, se establecía detalladamente las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. Pero esto ha cambiado, por cuanto que el Reglamento no establece un listado de las medidas de seguridad que son de aplicación de acuerdo con la tipología de datos objeto de tratamiento, sino que lo que determina es que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas al riesgo que conlleve el tratamiento. Utilizando un símil podríamos decir que se ha pasado de un sistema de "uniformes" a otro de "trajes a medida".

Dicho de otra forma, los riesgos asociados a cada tratamiento será lo que determine las medidas de seguridad a implementar. En consecuencia, resultará necesario realizar la evaluación de los riesgos asociados a cada tratamiento para -en función de los resultados obtenidos de ese necesario análisis previo- implementar las medidas de seguridad que resulten necesarias.

En relación con el análisis de riesgos ya señalamos que este variará dependiendo de varios factores como son -entre otros- la naturaleza de los datos, el número de interesados o los tipos de tratamiento. En todo caso, en función de si el nivel de riesgo es bajo, medio o alto, resultará pertinente adoptar unas u otras medidas.

Pues bien, pese a que el Reglamento no determina detalladamente y de forma exhaustiva un listado concreto de medidas que deban ser implementadas en función del nivel de riesgo, el RGPD si establece -en su art. Art. 32- que el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  • la seudonimización y el cifrado de datos personales;
  • la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
  • un proceso de verificación, evaluación y valoración regulares de la eficacia delas medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Asimismo, y toda vez que las medidas de seguridad deben resultar adecuadas y proporcionadas al riesgo detectado, el citado precepto señala que la determinación de las concretas medidas técnicas y organizativas deberá realizarse teniendo en cuenta:

  • El estado de la técnica
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines del tratamiento
  • Los riesgos de para los derechos y libertades y en particular la probabilidad de que estos sucedan y la gravedad de los mismos

En todo caso, al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Para finalizar resulta necesario incidir en que el análisis de riesgos constituye la piedra angular sobre la que se fundamentará la implementación de las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En consecuencia, algunas medidas solo resultarán aplicables a tratamientos que impliquen un alto riesgo (como sucede con la Evaluación de Impacto sobre la Protección de Datos) y otras deberán de ser implementadas o corregidas al nivel y el tipo de riesgo que el tratamiento conlleve. Por ello, el esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no resulta válido de forma automática tras la fecha de aplicación del RGPD, de forma que en algunos casos será posible continuar aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. Sin embargo, en otras ocasiones resultará completar las medidas existentes con otras adicionales o sustituir alguna de las medidas. Según la AEPD, "Los tratamientos que implican un bajo riesgo para los derechos o libertades de los interesados no requerirían, en principio, medidas de seguridad más complejas que las que actualmente establece el Reglamento de Desarrollo de la LOPD para el nivel básico. El responsable debe asegurarse de que esas medidas se aplican y también valorar si en el caso de los tratamientos que realiza, por ejemplo, por el contexto concreto en que se desarrollan o el tipo de interesados a que se refiere, sería necesaria alguna medida de seguridad distinta o adicional. En este caso, podrían servir como orientación las medidas de nivel medio que se recogen en el Reglamento de la LOPD.", si bien como indicábamos no en todos los casos resultará válido. En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluyen que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado; en otras ocasiones, será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas.

Por su parte la nueva LOPDGDD no amplía lo indicado por el RGPD salvo en lo que respecta a las medidas de seguridad en el ámbito del sector público, indicando en su D.A. 1ª que será el Esquema Nacional de Seguridad el que deba incluir las medidas que deberán implementarse, por parte de los responsables enumerados en el art. 77.1 de la LO, en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, así como impulsar un grado d e implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetos al Derecho privado, en los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato.
Igualmente se considera lícito el uso de datos seudonimizados con fines de investigación en salud pública y biomédica, siempre que dichos datos únicamente sean accesibles al equipo de investigación y se adopten las medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.

No hay versiones para este comentario

Medidas de seguridad
Análisis de riesgo
Encargado del tratamiento
Protección de datos
Datos personales
Evaluación de riesgos
Acceso a datos personales
Anonimización de datos
Tratamiento de datos personales
Seguridad del tratamiento de datos
Fundaciones

Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE

Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Libros Relacionados