GDPR 11. La seguretat del tractament


Josep Aragonés Salvat     05/09/2016

Política de seguretat


Ja a l'article 5, apartat f) del GDPR s'estableix com un dels principis relatius al tractament el Principi d'Integritat i Confidencialitat, disposant que les dades seran "tractades de tal manera que es garanteixi una seguretat adequada de les dades personals, inclosa la protecció contra el tractament no autoritzat o il·lícit i contra la seva pèrdua, destrucció o dany accidental, mitjançant l'aplicació de mesures tècniques o organitzatives apropiades".

Per garantir el compliment d'aquest principi, el GDPR inclou les disposicions relatives a l'aplicació de mesures tècniques o organitzatives apropiades que garanteixin la seguretat de les dades al Capítol IV (Responsable del tractament i encarregat del tractament) compost per les següents seccions:
 
  1. Obligacions generals (articles 24 a 31)
  2. Seguretat de les dades personals (articles 32 a 34)
  3. Avaluació d'impacte relativa a la protecció de dades i consulta prèvia (articles 35 I36)
  4. Delegat de protecció de dades (articles 37 a 39)
  5. Codis de conducta i certificació (articles 40 a 43)

Tot el Reglament en general i el Capítol IV en particular són en si mateix un cúmul de disposicions de seguretat per a la protecció de dades. Per això i com a resum de la política de seguretat a implementar, s'han d'aplicar les següents mesures:
 
  • Responsabilitat:
    • Acords de confidencialitat amb el Personal autoritzat
    • Contractes amb els Encarregats del tractament
    • Acords amb els Corresponsables del tractament
    • Contractes amb els Destinataris de les dades
 
  • Estructura tècnica:
    • Execució dels drets dels interessats
    • Protecció de dades des del disseny i per defecte
    • Anàlisi dels riscos del tractament
    • Avaluació d'impacte (si hi ha riscos)
    • Resolució de violacions de la seguretat
 
  • Estructura organitzativa:
    • Accés a equips i xarxes informàtiques
    • Accés a categories especials de dades (si n'hi ha)
    • Protecció d'equips i xarxes informàtiques
    • Còpies de seguretat
    • Transport i transmissió de dades
    • Transferències internacionals (si n'hi ha)
    • Destrucció de dades
 

Responsabilitat del tractament (article 24)


El Responsable del tractament, abans i durant el tractament, haurà d'aplicar mesures de protecció de dades proporcionades en relació amb les activitats del tractament i implementar mesures tècniques i organitzatives apropiades per garantir i demostrar el compliment del Reglament, tenint en compte:
 
  • La naturalesa, àmbit, context, i fins del tractament.
  • Els riscos per als drets i llibertats dels interessats.
  • El tipus d'organització.

Més informació sobre la responsabilitat del tractament a: La Responsabilitat del tractament

 

Protecció de dades des del disseny i per defecte (article 25)


El Responsable del tractament ha de garantir des del disseny i per defecte, abans i durant el tractament, l'aplicació efectiva dels principis de protecció de dades a tots dades personals tractades, així com al termini de conservació i de la seva accessibilitat:
 
  • Que el tractament es realitzi per a fins específics, o sigui, recollits amb fins determinats, explícits i legítims i no tractats posteriorment de manera incompatible amb aquestes finalitats.
  • La minimització de dades, sent adequades, pertinents i limitades al necessari en relació amb els fins per als que són tractades
  • L'exactitud, confidencialitat, integritat, seguretat física i supressió de les dades.
  • La protecció dels drets de l'interessat.
  • Que les dades no siguin accessibles, sense la intervenció humana, a un nombre indeterminat de persones.
  • L'aplicació dels resultats de l'avaluació d'impacte.

El Responsable del tractament podrà utilitzar els mecanismes de certificació establerts en el Reglament (article 42) per demostrar la protecció de les dades des del disseny i per defecte.

 

Seguretat del tractament (article 32)


El Responsable i l'Encarregat del tractament hauran d'implementar mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc que comporti el tractament, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, abast, context i fins del tractament.

La política de seguretat ha de garantir la implantació de mesures adequades per a la protecció dels drets i llibertats dels interessats. Per avaluar el nivell de seguretat a implantar, es tindran en compte els riscos que pugui tenir el tractament com a conseqüència de:
 
  • La destrucció accidental o il·lícita de dades.
  • La pèrdua, alteració o comunicació no autoritzada.
  • L'accés a les dades quan siguin transmeses, conservaess o objecte d'algun altre tipus de tractament.

S'aplicaran, segons correspongui la probabilitat i gravetat del risc que comporti el tractament, les següents mesures:
 
  • La seudonimización i el xifrat de dades personals.
  • La capacitat de garantir la confidencialitat, integritat, disponibilitat i resistència dels sistemes i serveis del tractament.
  • La capacitat de garantir que el personal autoritzat realitzarà el tractament seguint les instruccions del Responsable o Encarregat del tractament, o per una obligació legal (fonamentada en la legislació vigent).
  • La capacitat de restaurar la disponibilitat i l'accés a les dades de forma ràpida en cas d'un incident físic o tècnic.
  • L'eficàcia contínua, mitjançant la implantació de processos de verificació, avaluació i valoració de les mesures de seguretat adoptades.

El Responsable o Encarregat del tractament podran utilitzar l'adhesió als Codis de conducta o mecanismes de Certificació que estableix el Reglament per demostrar la implantació de les mesures de seguretat.

 

Violació de la seguretat de les dades (articles 33 i 34)


El Responsable i l'Encarregat del tractament han de prendre suficients mesures per prevenir danys o perjudicis als interessats o tercers en el transcurs del tractament de dades, com ara la pèrdua de control sobre les seves dades personals o la restricció dels seus drets, discriminació, usurpació d'identitat , pèrdues financeres, reversió no autoritzada de la seudonimización, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, o qualsevol altre perjudici econòmic o social significatiu per a la persona física.

També obliga al Responsable a notificar aquestes violacions a l'Autoritat de control en un màxim de 72 hores i fins i tot a comunicar-les als interessats afectats si es preveu que la incidència pugui comportar un alt risc per als seus drets i llibertats.

Més informació sobre violacions de la seguretat a: La violació de seguretat

 

Avaluació d'impacte relativa a la protecció de dades (article 35)


El Responsable del tractament serà l'encarregat d'avaluar l'origen, la naturalesa, la particularitat i la gravetat dels riscos del tractament i de dissenyar mesures adequades per mitigar-los i garantir la protecció de dades, tenint en compte la tecnologia disponible i els costos d'aplicació . Per a això, el Responsable del tractament haurà de realitzar una avaluació d'impacte quan:
 
  • S'utilitzin noves tecnologies i si naturalesa, abast, context o fins del tractament prevegin un alt risc.
  • El tractament es basi en una elaboració de perfils que puguin afectar significativament als interessats amb efectes jurídics o d'alguna altra manera.
  • Es tracten dades relatives a condemnes i delictes penals.
  • Hi hagi un tractament a gran escala basat en l'observació sistemàtica d'una zona d'accés públic o en categories especials de dades.

Més informació sobre l'avaluació d'impacte en: L'avaluació d'impacte
 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 10. Els Destinataris de dades     Tema següent: 12. La violació de la seguretat



Informació relacionada