Aplicación del GDPR: 4. Política de seguridad


Josep Aragonés Salvat     20/10/2016

Implantación de mecanismos de seguridad

 
Una vez identificados los ficheros y la responsabilidad del tratamiento (ver artículos anteriores de la aplicación del GDPR), debemos establecer una política de seguridad que garantice la aplicación de medidas adecuadas de protección datos.

La LOPD basa las medidas de seguridad en la aplicación de niveles de seguridad (Básico, Medio y Alto), detallando acciones precisas de índole técnica y organizativa a adoptar para cada nivel. Estas medidas se reflejan en el Documento de seguridad y son controladas por el Responsable de seguridad con el objetivo de implementarlas y revisar su cumplimiento.

El GDPR difiere de la LOPD en que no especifica niveles de seguridad con un detalle de acciones precisas, ni obliga a redactar un Documento de seguridad, ni a nombrar un responsable del mismo. El nuevo Reglamento establece disposiciones específicas para cada categoría de datos y de tratamiento y responsabiliza a la organización (Responsable del tratamiento) de que las medidas tomadas sean las adecuadas para proteger los datos, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.

Recordamos las diferentes categorías de datos y de tratamiento:
 
Categorías de datos
  • Básicos
  • Especiales
  • Penales
Categorías de tratamiento
  • Tratamiento con alto riesgo
  • Transferencias internacionales de datos
  • Elaboración de perfiles
  • Datos tratados por grupos de empresas
  • Datos de titularidad o interés público


 
A continuación detallaremos las medidas de seguridad para cada categoría de datos. En el próximo artículo haremos lo mismo con las categorías de tratamiento.


 

Categorías de datos Básicos


Las medidas de seguridad básicas se aplicarán a cualquier categoría de datos y de tratamiento y se basarán en el principio de integridad y confidencialidad, debiendo ser el Responsable del tratamiento capaz de demostrar su cumplimiento (principio de responsabilidad proactiva).

El principio de integridad y confidencialidad obliga a implementar medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales. Para ello se deberá confeccionar un protocolo de actuación (Política de seguridad) para la protección de datos en todas las operaciones de tratamiento.
 
TRATAMIENTO MEDIDAS DE SEGURIDAD
Responsabilidad
  • Contratos de confidencialidad con el personal autorizado.
  • Contratos de tratamiento de datos con empresas externas.
  • Garantías adecuadas para la transmisión de datos a terceros.
Riesgos
  • Análisis de los riesgos del tratamiento.
  • Protección de datos desde el diseño y por defecto.
  • Aplicación de medidas de seguridad adecuadas
> 250 empleados
  • Registro de actividades.


Las medidas de seguridad relativas a la responsabilidad se han tratado en el anterior artículo “Aplicación del GDPR: 3. Responsabilidad del tratamiento”, por lo que ahora nos centraremos únicamente en los riesgos.


 

Análisis de los riesgos del tratamiento


Para evaluar el nivel de seguridad a implantar en la organización se analizarán los altos riesgos que entrañe el tratamiento como consecuencia de:
 
  • La destrucción accidental o ilícita de datos.
  • La pérdida, alteración o comunicación no autorizada.
  • El acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.

Según el alto riesgo previsto, se aplicarán las siguientes medidas de protección de datos:
 
  • Seudonimización o cifrado de datos personales.
  • Confidencialidad, integridad, disponibilidad y resistencia de los sistemas de tratamiento.
  • Acuerdos de confidencialidad con el personal autorizado para el tratamiento de datos.
  • Restauración de datos mediante copias de respaldo.
  • Auditoría de las medidas de seguridad adoptadas.

Cuando sea probable que el tratamiento comporte un alto riesgo para los derechos y libertades de los interesados, se realizará una evaluación de impacto que determine dichos riesgos y la forma de mitigarlos, especialmente si se utilizan nuevas tecnologías y si naturaleza, alcance, contexto o fines del tratamiento prevean el alto riesgo. 
TRATAMIENTO MEDIDAS DE SEGURIDAD
Siempre
  • Seudonimización o cifrado de datos.
  • Seguridad de los sistemas de tratamiento.
  • Acuerdos de confidencialidad.
  • Copias de respaldo.
  • Auditoría de las medidas de seguridad.?
Alto riesgo
  • Evaluación de impacto.
 

 

Protección de datos desde el diseño y por defecto


El Responsable del tratamiento deberá garantizar desde el diseño y por defecto, antes y durante el tratamiento, la aplicación efectiva de los principios de protección de datos mediante las siguientes medidas de seguridad:
 
  • Que el tratamiento se realice para fines específicos, o sea, recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
  • La minimización de datos, siendo adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
  • La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos.
  • La protección de los derechos del interesado.
  • Que los datos no sean accesibles, sin la intervención humana, a un número indeterminado de personas.
  • La aplicación de los resultados de la evaluación de impacto (si existe).
  
TRATAMIENTO MEDIDAS DE SEGURIDAD
Principios
  • Fines específicos.
  • Minimización de datos.
  • Exactitud.
  • Confidencialidad e integridad.
  • Seguridad física de los datos.
  • Supresión de datos.?
Interesados
  • Protección de los derechos del interesado.
Acceso a datos
  • No accesibles a un número indeterminado de personas.
Alto riesgo
  • Aplicación de los resultados de la evaluación de impacto
 

 

Aplicación de medidas de seguridad adecuadas


Aunque el Reglamento no dispone de actuaciones precisas para garantizar la seguridad de los datos, se deberán tomar unas medidas mínimas de seguridad y que estas sean adecuadas al tipo de tratamiento con el fin de mitigar los riesgos del mismo, por ejemplo:
 
TRATAMIENTO MEDIDAS DE SEGURIDAD
Organización
  • Clasificados de manera que se puedan ejercer los derechos de los interesados.
Conservación
  • Documental: mobiliario, departamentos, archivadores, etc.
  • Informática: soportes, carpetas, archivos, etc.
Acceso
  • Documental: llaves, acceso restringido, etc.
  • Informático: identificación, autenticación, etc.
Procesamiento
  • Soportes documentales e informáticos dispuestos de tal forma que no sean accesibles a personas no autorizadas.
Transporte
  • Personal autorizado.
  • Empresas Encargadas del tratamiento.
Eliminación
  • Destructora de documentos y soportes informáticos.
  • Empresas homologadas de residuos.
Copias de respaldo
  • Copias de seguridad internas.
  • Copias de seguridad externas.
Protección
  • Antivirus, antispam, cortafuegos, etc.
  • Seudonimización, cifrado, etc.
Riesgos
  • Desde el diseño y por defecto
  • Evaluación de impacto
Redes
  • Permisos de acceso a redes.
  • Identificación, autenticación.
Internacional
  • Decisión de suficiencia.
  • Garantías adecuadas de protección de datos
Auditorías
  • Responsabilidad proactiva (principios de protección de datos)
  • Registro de las actividades del tratamiento
  • Política de seguridad
  
 

 
Categorías especiales de datos


Las categorías especiales de datos se refieren a tratamientos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.

Las medidas de seguridad específicas para categorías especiales de datos son:
 
  • Llevar actualizado un registro de las actividades del tratamiento
  • Cuando la actividad principal del Resposable del tratamiento contemple un tratamiento de datos a gran escala:
    • Realizar una evaluación de impacto
    • Designar un Delegado de Protección de Datos (DPO)

Para clarificar los términos “actividad principal” y “gran escala” detallamos su significado:
 
  • Tratamientos a gran escala: Operaciones de tratamiento que persiguen tratar una cantidad considerable de datos personales que afectan a un gran número de ciudadanos con la probabilidad de existir un alto riesgo para los derechos y libertades de los mismos.
 
  • Actividad principal del Responsable o Encargado del tratamiento: A lo que se dedica la empresa, o sea, su actividad económica. Por ejemplo, en una fábrica de calcetines la actividad principal es su fabricación y venta; en una empresa de trabajo temporal (ETT) su actividad principal es elaborar perfiles de personas para proporcionarles un empleo. Es muy importante discernir si la actividad principal se basa, o no, en el tratamiento de datos personales.
 
TRATAMIENTO MEDIDAS DE SEGURIDAD
Licitud
  • Consentimiento explícito para fines específicos
  • Realizado por organizaciones sin ánimo de lucro con finalidad política, filosófica, religiosa o sindical.
  • Tratamiento fundamentado en la legislación vigente.?
Siempre
  • Registro de actividades.
Gran escala
  • Categoría de tratamiento de alto riesgo.
  • Evaluación de impacto.
  • Designación de un DPO.
 

   

 

Categorías de datos penales


Esta categoría se refiere al tratamiento de datos relativos a condenas y delitos penales o medidas de seguridad afines.

Las medidas de seguridad específicas para categorías de datos penales son:
 
  • Llevar actualizado un registro de las actividades del tratamiento.
  • Realizar una evaluación de impacto.
  • Cuando la actividad principal del Resposable del tratamiento contemple un tratamiento de datos a gran escala: Designar un Delegado de Protección de Datos (DPO).
 
TRATAMIENTO MEDIDAS DE SEGURIDAD
Licitud
  • Tratamiento fundamentado en la legislación vigente.?
Siempre
  • Registro de actividades.
  • Categoría de tratamiento de alto riesgo.
  • Evaluación de impacto.
Gran escala
  • Designación de un DPO.
 

   


 

Información relacionada

 



Seguimiento del curso Aplicación del GDPR


Tema anterior: 3. Responsabilidad del tratamiento   Tema siguiente: 5. Categorías de tratamiento