Principio de confidencialidad en la LO 3/2018 (LOPDGDD) y en el Reglamento general de protección de datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 21/01/2019

El articulo 5.1.f) del RGPD expone que los datos personales serán tratados de tal manera que se garantice la confidencialidad e integridad. Ya en la LOPDGDD se establece el deber de confidencialidad de los datos en el artículo 5 de dicha norma.

Conforme a lo dispuesto en el artículo 5.1.f) del RGPD, los datos personales serán tratados de tal manera que se garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento («principios de integridad y confidencialidad»).

Constituye por tanto, un interés legítimo del responsable, el tratamiento de datos personales en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información (es decir la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos) y la seguridad de los servicios conexos ofrecidos por, o accesibles a través de, estos sistemas y redes, por parte de autoridades públicas, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad. En lo anterior cabría incluir, por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas y la distribución malintencionada de códigos, y frenar ataques de «denegación de servicio» y daños a los sistemas informáticos y de comunicaciones electrónicas.

   Debe tenerse en cuenta que la pérdida de confidencialidad de los datos sujetos al secreto profesional, la reversión no autorizada de la seudonimización, etc., suponen un riesgo para los derechos y libertades de las personas físicas cuya gravedad y probabilidad dependerá de la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales, todo ello para evitar que sucedan los riesgos y que pueda producirse una violación de la seguridad.

Además el propio Reglamento establece su aplicación al tratamiento de datos personales con fines estadísticos. El contenido estadístico, el control de accesos, las especificaciones para el tratamiento de datos personales con fines estadísticos y las medidas adecuadas para salvaguardar los derechos y las libertades de los interesados y garantizar la confidencialidad estadística deben ser establecidos, dentro de los límites del presente Reglamento, por el Derecho de la Unión o de los Estados miembros (por fines estadísticos se entiende cualquier operación de recogida y tratamiento de datos personales necesarios para encuestas estadísticas o para la producción de resultados estadísticos).

   La nueva LOPDGDD regula la confidencialidad en su artículo 5 como un deber que atañe a los responsables, encargados y cualquier otra personal que intervenga en cualquier fase del tratamiento. Esta obligación será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable y se mantendrá aun cuando hubiese finalizado la relación del obligado con el responsable o encargado.

   En cuanto a los Encargados del tratamiento el artículo 28 del RGPD establece que en el contrato que lo vincule con el Responsable, entre otras cuestiones básicas, se estipulará que el Encargado "garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria".

Específicamente en cuanto a la seguridad de los datos personales, el artículo 32 RGPD, tal y como indicamos anteriormente, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

   Ya con respecto al Delegado de protección de datos, recordar que este estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, si bien, en el ejercicio de sus funciones el delegado  tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de la LOPDGDD.

   Con respeto al tratamiento de datos de salud, la D.A. 17ª de la LOPDGDD establece igualmente que el tratamiento de datos en la investigación en salud exigirá que exista un compromiso expreso de confidencialidad y de no realización de ninguna actividad de reidentificación.

   Además se puede extrapolar la importancia de este principio y su obligación, al comprobar que la vulneración del deber de confidencialidad se considera una infracción muy grave en la nueva normativa española.

 

No hay versiones para este comentario

Datos personales
Tratamiento de datos personales
Comunicación electrónica
Proveedores
Daños y perjuicios
Secreto profesional
Interés legitimo
Persona física
Seguridad de los datos personales
Estado de la técnica
Reversión
Anonimización de datos
Encargado del tratamiento
Acceso a datos personales
Delegado de protección
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados