Tipos de riesgos relacionados con la seguridad de los datos en el Reglamento Europeo de Protección de Datos (RGPD) y en la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 04/02/2019
A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos (como la seudonimización y el cifrado). Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.
La reforma de la regulación de protección de datos sufrida con la entrada en vigor del RGPD supuso un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño. Básicamente, además de hacer mención a los riesgos en diversos considerandos, se establece la obligación de su análisis o bien se menciona su análisis en varios preceptos del Reglamento, en concreto en los artículos 24, 25, 32 a 35 y 39.
Lo mismo ocurre en la LOPDGDD en donde se menciona que el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que procedan. La necesidad de tener en cuenta los riesgos se regula en diversos preceptos tales como el artículo 28 en cuanto a las obligaciones generales de los responsables y encargados de tratamiento, pues se matiza que para la adopción de las medidas técnicas y organizativas se derán tener en cuenta en particular los mayores riesgos que podrían producirse, y se indican una serie de supuestos. Igualmente en esta Ley Orgánica en el artículo 34 se establece que se deberán tener en cuenta los riesgos a la hora de establecer la dedicación completa o a tiempo parcial del delegado de protección de datos.
Atendiendo a los Considerandos 75 a 77 del RGPD, "(75) Los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.
(76) La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.
(77) Se podrían proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos. El Comité también puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas físicas, e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión."
Igualmente según el Considerando 83, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales. Como veremos, los riesgos relacionados con la protección de la información inciden en la integridad, confidencialidad y seguridad de los datos. Un ejemplo lo constituye por ejemplo el acceso ilegítimo a los datos o la pérdida de datos.
A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Por tanto para establecer las medidas de seguridad y control para garantizar los derechos y libertades de las personas es necesario llevar a cabo un análisis de riesgos.
En este sentido la identificación de un riesgo que pueda implicar el incumplimiento de las condiciones tuitivas de los derechos y libertades de las personas físicas deberá conllevar la adopción de medidas que puedan mitigar este riesgo, es decir, disminuir su nivel de exposición para reducir la probabilidad y/o impacto de que se materialicen, hasta situar el riesgo residual en un nivel que se considere razonable. Un ejemplo de riesgo de este tipo lo constituiría el hecho de que una organización no tenga correctamente implementados los procedimientos correspondientes para permitir al interesado ejercer sus derechos o cuando se realizase un tratamiento ilícito de datos personales. Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales.
En todo caso, si en el análisis previo se detectase que es probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas o para la propia información, entonces el responsable estará obligado a realizar una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
- Responsabilidad de la Administración Pública por negligencias médicas
Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia Civil Nº 140/2015, AP - Asturias, Sec. 5, Rec 160/2015, 20-05-2015
Orden: Civil Fecha: 20/05/2015 Tribunal: Ap - Asturias Ponente: Casero Alonso, Jose Luis Num. Sentencia: 140/2015 Num. Recurso: 160/2015
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional Nº C-136/17, TJUE, 24-09-2019
Orden: Supranacional Fecha: 24/09/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-136/17
-
Sentencia Supranacional Nº C-272/19, TJUE, 09-07-2020
Orden: Supranacional Fecha: 09/07/2020 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-272/19
-
Sentencia Civil Nº 163/2015, AP - Asturias, Sec. 5, Rec 176/2015, 08-06-2015
Orden: Civil Fecha: 08/06/2015 Tribunal: Ap - Asturias Ponente: Casero Alonso, Jose Luis Num. Sentencia: 163/2015 Num. Recurso: 176/2015
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 03/02/2020
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...
-
Glosario de definiciones del RGPD
Orden: Administrativo Fecha última revisión: 18/01/2019
El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...
-
Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.
Orden: Administrativo Fecha última revisión: 30/01/2019
La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...
-
Evaluación de impacto relativa a la protección de datos (EIPD)
Orden: Administrativo Fecha última revisión: 04/02/2019
A fin de mejorar el cumplimiento del RGPD en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la r...
-
Obligaciones específicas de los encargados del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 30/01/2019
El RGPD impone de forma expresa determinadas obligaciones a los encargados del tratamiento de datos de carácter personal (arts. 32, 37 y 40 RGPD). Por su parte la LOPDGDD establece tambien una serie de obligaciones (art. 28, 31 y 34 LOPDGDD). Como...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
Contrato de encargo de tratamiento entre responsable y encargado. Videovigilancia. (Adaptado LOPD-GDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL FICHERO, Don/Doña [NOMBRE] con D.N.I. número [NIF], en nombre y representación de la mercantil [NOMBRE_EMPRESA] con C.I.F. número [CIF] y domicilio social en [DOMICILIO]...
-
Contrato de encargo de tratamiento entre encargado y subencargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO ENTRE ENCARGADO DE TRATAMIENTO Y SUBENCARGADOEn [LOCALIDAD], a [DIA] de [MES] de [ANIO]De una parte, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Modelo de funciones y obligaciones del personal con acceso a datos personales. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
FUNCIONES Y OBLIGACIONES DEL PERSONAL DE [NOMBRE_EMPRESA]La seguridad y la confianza de los clientes, el personal, los representantes, los proveedores y otros individuos, es primordial para el éxito de la empresa.El acceso a Intranet y a Internet, e...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
Caso práctico: ¿Está permitida la publicación de listas de morosos en tablones de la comunidad, ascensores, etc., antes incluso de que la junta de propietarios acuerde la liquidación de la deuda?
Fecha última revisión: 05/07/2013
-
Caso práctico: Cuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internet
Fecha última revisión: 21/05/2014
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: Denegación acceso revisión examen oposición
Fecha última revisión: 26/06/2018
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal gar...
PLANTEAMIENTO¿Está permitida la publicación de listas de morosos en tablones de la comunidad, ascensores, etc., antes incluso de que la junta de propietarios acuerde la liquidación de la deuda?RESPUESTASiANÁLISISConforme indica el 2.1 ,LOPD, el ...
RESUMENCuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internetANÁLISISDicha sentencia publicada el 13 de mayo de 2014, resolvió reconocer este derecho “al olvido” aplic...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada ...
PLANTEAMIENTOTras realizar un examen, deseo poder acceder al mismo al objeto de verificar las respuestas que he consignado. Sin embargo, mi solicitud ha sido denegada argumentando que no están obligados a ello al no considerarse el examen un dato pe...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 01/08/2018
-
Resolución de 24 de enero de 2013, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la negativa del registrador de la propiedad de Motril n.º 2 a expedir determinadas notas simples informativas.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 24/01/2013
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 28/04/2014
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 03/01/2018
-
Reglamento General de Protección de Datos (RGPD)
- Autor: Editorial Colex, S.L.
- Publicación: 01/08/2018
- Desde 6.6€
-
Nuevas tecnologías y responsabilidad civil
- Autores: V.V.A.A.
- Publicación: 15/12/2020
- Desde 33.25€
-
CURSO SOBRE EL ANÁLISIS DE LA ENTRADA Y REGISTRO EN EL DOMICILIO DEL CONTRIBUYENTE
- Desde 36.24€
