Medidas de seguridad o de salvaguarda de la información en el Reglamento General de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)

Cabe recordar que una de las características fundamentales de la regulación en materia de protección de datos es el mandato de conducta proactiva, comportamiento que han de intentar presentar todas aquellas entidades que actúen como operadoras en el tratamiento de datos personales de los interesados, adelantándose a los posibles acontecimientos negativos que pueden ocurrir respecto a la seguridad de información y la protección de los intereses de las personas cuyos datos ostentan y manejan.

Pues bien, de entre todos los factores que configuran la conducta proactiva del responsable, uno de los más importantes es la implantación de medidas de seguridad que sean necesarias para la salvaguarda de los derechos y libertades de los interesados. 

Recoge tanto el propio artículo 24 del RGPD —que obliga al responsable a aplicar medidas técnicas y organizativas que garanticen el tratamiento de datos conforme al RGPD—, como el artículo 28, apartado 3, letra c) del RGPD que el tratamiento de datos realizado por el encargado, regido siempre por un contrato u acto jurídico conforme al derecho de la UE o de los Estados miembros, debe estipular que el encargado tomará todas las medidas necesarias en materia de seguridad del tratamiento y ayudar al responsable en su cumplimiento. 

Asimismo, el artículo 40, apartado 2, letra h), del RGPD ordena que las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta o modificar o ampliar dichos códigos con objeto de especificar la aplicación del mencionado reglamento en lo que respecta también a las medidas para garantizar la seguridad del tratamiento de datos. 

A TENER EN CUENTA. Las medidas de seguridad serán incluidas dentro de la EIPD [art. 35.7 d) del RGPD] y su adopción será un factor determinante a la hora de imponer multas administrativas a los encargados y responsables del tratamiento ya que su responsabilidad se valorará según las medidas que estos hayan adoptado durante sus funciones [art. 83.2 d) del RGPD]. 

Para saber qué tipo de medidas se deben diseñar e implantar primero deben conocerse el conjunto de amenazas y riesgos que se encuentran en la órbita de los tratamientos que se pretenden realizar. Es el artículo 32, apartado 1, del RGPD quien ofrece una relación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que podrán ser adoptadas y aplicadas por el responsable y el encargado del tratamiento. Estas son:

1. La seudonimización y el cifrado de datos personales.

Como establece el artículo 4 del RGPD, la seudonimización consiste en el tratamiento de datos personales cuya atribución a un interesado requiera de información adicional que figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona identificada o identificable. 

Como dispone la AEPD, en su Guía sobre Orientaciones y garantías en los procedimientos de anonimización de datos personales, la seudonimización es una herramienta utilizada para garantizar la privacidad de los datos personales, y sus limitaciones son inherentes al avance de la tecnología. 

Los tratamientos para los que suele ser adecuada la implantación de este tipo de medidas es para aquellos en los que estén involucrados datos de alta sensibilidad, así como datos de menores o personas en situación de vulnerabilidad. Evidentemente, nada impide la implantación de la medida ante tratamientos de datos personales con un menor nivel de exigencia de tutela (datos básicos de correo electrónico, número de teléfono o nombre).

El funcionamiento de este tipo de medidas tiene que ver con imponer barreras de acceso no autorizado a los ficheros, tanto físicos como electrónicos, en los que se alojen los datos. Ello puede lograrse mediante contraseñas de acceso, patrones de bloqueo o comprobación de credenciales de acceso a través de un sistema diseñado a tal efecto. Asimismo, por lo que se refiere a la seudonimización en sentido concreto, se utiliza para el tratamiento de datos personales en los que no es necesario mantener un nexo identificativo entre el interesado y el dato que se está tratando. Puede configurarse en torno a la asignación de un nombre o apodo alternativo al nombre real del interesado o sustituir los datos por cifras sin sentido aparente o nexo identificativo.

CUESTIÓN

¿En qué se diferencian la seudonimización y la anonimización?

La anonimización se ejecuta alterando de forma irreversible los datos del interesado, dejando de ser identificable directa o indirectamente. Por su parte, la seudonimización permite cambiar los datos originales por un seudónimo, siendo un proceso reversible que permitirá identificar de nuevo al interesado si fuera necesario.

En este punto también es importante citar la D.A. 17.ª, apartado 2, letra d), 2.º, ii) de la LOPDGDD, ya que respecto al uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica, requiere que sean accesibles al equipo de investigación cuando se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados, aunque podrá procederse a la reidentificación de los datos en su origen cuando en la investigación que se utilicen esos datos seudonimizados se aprecie riesgo real y concreto para la seguridad, salud o derecho del interesado. 

2. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

Se pretende establecer la necesidad de monitorización y vigilancia constante de las políticas internas de protección de datos de los operadores de los datos. En efecto, cualquier sistema que adapte una entidad a la normativa sobre protección de datos debe procurar la tutela de la confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento. Se trata de una medida configurada en torno a un sistema activo, en constante evolución y adaptación a las nuevas realidades que se produzcan. 

3. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

Medida técnica y organizativa de gran relevancia que tiene que ver con la disponibilidad de los datos personales que son objeto de tratamiento. De nada sirve poner en práctica diferentes tratamientos si, ante una situación negativa, no es posible recuperar o localizar los datos que son objeto del mismo.

Un ejemplo sobre esta medida: se traspapela un documento, ya sea físico o digital, o se pierde el soporte físico en el que se encontraban almacenados los datos (un disco duro, pen drive).

CUESTIÓN

En mi empresa se ha producido un incendio en la sala de archivo de documentación, habiéndose calcinado el conjunto de expedientes que allí estaban almacenados, así como algunos discos duros que se encontraban en el mismo recinto. ¿Qué medidas debía haber tomado para evitar este incidente?

En realidad, lo importante de cara a la protección de datos no debe centrarse en las medidas técnicas de prevención de catástrofes naturales o industriales, como los incendios, sino en la evitación de que dichos eventos dañosos puedan dañar la integridad de los datos que se integran en los tratamientos que se deben proteger.

De este modo, las medidas de seguridad necesarias en este tipo de coyunturas pasan por la implantación de una política de papel cero, digitalizando al máximo la documentación física de la que se disponga, al objeto de introducir sistemas de copias de seguridad de la información. Con ello, debemos mantener diferentes puntos de almacenamiento, a nivel servidor o soporte externo (por ejemplo, discos duros), de modo que se mantengan copias de la información en localizaciones ajenas a la propia entidad. De este modo, cada vez que se recopile y almacene información, se debe realizar una copia de seguridad en destinos alternativos.

4. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Con la implantación de este tipo de procesos, en realidad, lo que se está determinando es la necesidad de incorporar procedimientos de auditoría que sirvan para evaluar el grado de cumplimiento y la eficacia de las medidas de seguridad implantadas. Cada entidad deberá valorar si es preferible externalizar o internalizar esta función, de acuerdo con sus estructura y necesidades, siempre a la luz del principio de proporcionalidad.

Como bien indica el citado artículo 32, apartado 2, del RGPD, a la hora de evaluar la adecuación del nivel de seguridad, se tendrán en cuenta:

• La técnica.
• Los costes de aplicación.
• La naturaleza, el alcance, el contexto y los fines del tratamiento.
• Los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
• Los riesgos que presente el tratamiento de datos como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma o la comunicación o acceso no autorizados a esos datos.

Los requisitos anteriores se entienden cumplidos si se ha producido adhesión a un código de conducta (siguiendo las pautas del artículo 40 del RGPD) o a un mecanismo de certificación (conforme a lo regulado en el artículo 42 del RGPD).

A TENER EN CUENTA. El artículo 30, apartado 1, letra g), del RGPD establece que cada responsable o su representante deben llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, conteniendo, siempre que sea posible, una descripción general de las medidas técnicas y organizativas de seguridad que recoge el artículo 32, apartado 1, del RGPD. Por su parte, este artículo concluye en su apartado 4 que «el responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros».

Como se ha indicado es el RGPD el que hace relación expresa de las medidas que se pueden adoptar en materia de seguridad en el tratamiento de datos. No obstante, es importante citar que en la LOPDGDD también se presentan una serie de medidas:

• Medidas de seguridad en el ámbito del sector público (D.A. 1.ª de la LOPDGDD): el Esquema Nacional de Seguridad (ENS) debe incluir medidas a implantar en casos de tratamiento de datos personales; así mismo, los responsables del artículo 77, apartado 1, de la LOPDGDD deben aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el ENS; en los regímenes de concesión, las medidas de seguridad serán las de la Administración de origen ajustándose al ENS. 

A TENER EN CUENTA. El apartado 1 del art. 77 de la LOPDGDD hace una distinción cuando los responsables o encargados de datos sean órganos constitucionales, órganos jurisdiccionales, Administraciones públicas, organismos públicos, entidades de derecho público, el Banco de España, fundaciones del sector público, universidades públicas, consorcios, grupos parlamentarios, etc. 

• Tratamiento de datos personales en relación con la notificación de incidentes de seguridad (D.A. 9.ª de la LOPDGDD): «cuando (...) deban notificarse incidentes de seguridad, las autoridades públicas competentes, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad, podrán tratar los datos personales contenidos en tales notificaciones, exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta ante incidentes y adoptando las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo determinado».