Aplicació del GDPR: 4. Política de seguretat
Josep Aragonés Salvat 20/10/2016
Implantació de mecanismes de seguretat
Un cop identificats els fitxers i la responsabilitat del tractament (veure articles anteriors de l'aplicació del GDPR), hem d'establir una política de seguretat que garanteixi l'aplicació de mesures adequades de protecció dades.
La LOPD basa les mesures de seguretat en l'aplicació de nivells de seguretat (Bàsic, Mitjà i Alt), detallant accions necessàries d'índole tècnica i organitzativa a adoptar per a cada nivell. Aquestes mesures es reflecteixen en el Document de seguretat i són controlades pel Responsable de seguretat amb l'objectiu de implementar-les i revisar-ne el compliment.
El GDPR difereix de la LOPD en què no s'especifica nivells de seguretat amb un detall d'accions precises, ni obliga a redactar un Document de seguretat, ni a nomenar un responsable del mateix. El nou Reglament estableix disposicions específiques per a cada categoria de dades i de tractament i responsabilitza a l'organització (Responsable del tractament) que les mesures preses siguin les adequades per protegir les dades, tenint en compte l'estat de la tècnica, els costos d'aplicació i la naturalesa, abast, context i fins del tractament.
Recordem les diferents categories de dades i de tractament:
|
|
Categories de dades |
- Básicques
- Especials
- Penals
|
Categories de tractament |
- Tractament amb alt risc
- Transferències internacionals de dades
- Elaboració de perfils
- Dades tractades per grups d'empreses
- Dades de titularitat o interès públic
|
A continuació detallarem les mesures de seguretat per a cada categoria de dades. En el proper article farem el mateix amb les categories de tractament.
Categories de dades Bàsiques
Les mesures de seguretat bàsiques s'aplicaran a qualsevol categoria de dades i de tractament i es basaran en el principi d'integritat i confidencialitat, havent de ser el responsable del tractament capaç de demostrar el seu compliment (principi de responsabilitat proactiva).
El principi d'integritat i confidencialitat obliga a implementar mesures tècniques i organitzatives adequades per protegir les dades contra tractaments no autoritzats o il·lícits i la seva pèrdua, destrucció o dany accidentals. Per a això s'haurà de confeccionar un protocol d'actuació (Política de seguretat) per a la protecció de dades en totes les operacions de tractament.
TRACTAMENT |
MESURES DE SEGURETAT |
Responsabilitat |
- Contractes de confidencialitat amb el personal autoritzat.
- Contractes de tractament de dades amb empreses externes.
- Garanties adequades per a la transmissió de dades a tercers.
|
Riscos |
- Anàlisi dels riscos del tractament.
- Protecció de dades des del disseny i per defecte.
- Aplicació de mesures de seguretat adequades.
|
> 250 empleats |
|
Les mesures de seguretat relatives a la responsabilitat s'han tractat en l'anterior article "Aplicació del GDPR: 3. Responsabilitat del tractament", de manera que ara ens centrarem únicament en els riscos.
Anàlisi dels riscos del tractament
Per avaluar el nivell de seguretat a implantar en l'organització s'analitzaran els alts riscos que comporti el tractament com a conseqüència de:
- La destrucció accidental o il·lícita de dades.
- La pèrdua, alteració o comunicació no autoritzada.
- L'accés a les dades quan siguin transmesos, conservats o objecte d'algun altre tipus de tractament.
Segons l'alt risc previst, s'aplicaran les següents mesures de protecció de dades:
- Seudonimización o xifrat de dades personals.
- Confidencialitat, integritat, disponibilitat i resistència dels sistemes de tractament.
- Acords de confidencialitat amb el personal autoritzat per al tractament de dades.
- Restauració de dades mitjançant còpies de seguretat.
- Auditoria de les mesures de seguretat adoptades.
Quan sigui probable que el tractament comporti un alt risc per als drets i llibertats de les persones interessades, es realitzarà una avaluació d'impacte que determini aquests riscos i la forma de mitigar-los, especialment si s'utilitzen noves tecnologies i si naturalesa, abast, context o fins del tractament prevegin l'alt risc.
TRACTAMENT |
MESURES DE SEGURETAT |
Sempre |
- Seudonimización o xifrat de dades.
- Seguretat dels sistemes de tractament.
- Acords de confidencialitat.
- Còpies de seguretat.
- Auditoria de les mesures de seguretat?.
|
Alt risc |
|
Protecció de dades des del disseny i per defecte
El responsable del tractament ha de garantir des del disseny i per defecte, abans i durant el tractament, l'aplicació efectiva dels principis de protecció de dades mitjançant les següents mesures de seguretat:
- Que el tractament es realitzi per a fins específiques, és a dir, recollits amb fins determinats, explícits i legítims i no tractats posteriorment de manera incompatible amb aquestes finalitats.
- La minimització de dades, sent adequades, pertinents i limitats al que necessari en relació amb els fins per als que són tractats
- L'exactitud, confidencialitat, integritat, seguretat física i supressió de les dades.
- La protecció dels drets de l'interessat.
- Que les dades no siguin accessibles, sense la intervenció humana, a un nombre indeterminat de persones.
- L'aplicació dels resultats de l'avaluació d'impacte (si existeix).
TRACTAMENT |
MESURES DE SEGURETAT |
Principis |
- Fins específics.
- Minimització de dades.
- Exactitud.
- Confidencialitat i integritat.
- Seguretat física de les dades.
- Supressió de dades.?
|
Interessats |
- Protecció dels drets de l'interessat.
|
Accés a dades? |
- No accessibles a un nombre indeterminat de persones.
|
Alt risc |
- Aplicació dels resultats de l'avaluació d'impacte.
|
Aplicació de mesures de seguretat adequades
Tot i que el Reglament no disposa d'actuacions necessàries per garantir la seguretat de les dades, s'hauran de prendre unes mesures mínimes de seguretat i que aquestes siguin adequades al tipus de tractament per tal de mitigar els riscos del mateix, per exemple:
TRACTAMENT |
MESURES DE SEGURETAT |
Organització |
- Classificats de manera que es puguin exercir els drets de les persones interessades.
|
Conservació |
- Documental: mobiliari, departaments, arxivadors, etc.
Informàtica: suports, carpetes, arxius, etc.
|
Accés |
- Documental: claus, accés restringit, etc.
- Informàtic: identificació, autenticació, etc.
|
Processament |
- Suports documentals i informàtics disposats de manera que no siguin accessibles a persones no autoritzades.
|
Transport |
- Personal autoritzat.
- Empreses Encarregades del tractament.
|
Eliminació |
- Destructora de documents i suports informàtics.
- Empreses homologades de residus.
|
Còpies de seguretat? |
- Còpies de seguretat internes.
- Còpies de seguretat externes.
|
Protecció |
- Antivirus, antispam, tallafocs, etc.
- Seudonimización, xifrat, etc.
|
Riscos |
- Des del disseny i per defecte
- Avaluació d'impacte
|
Xarxes |
- Permisos d'accés a xarxes.
- Identificació, autenticació.
|
Internacional |
- Decisió de suficiència.
- Garanties adequades de protecció de dades
|
Auditories |
- Responsabilitat proactiva (principis de protecció de dades)
- Registre de les activitats del tractament
- Política de seguretat
|
Categories especials de dades
Les categories especials de dades es refereixen a tractaments relatius a l'origen ètnic o racial, opinions polítiques, conviccions religioses o filosòfiques, afiliació sindical, dades genètiques o biomètrics que permetin la identificació unívoca d'una persona, dades relatives a la salut oa la vida i orientació sexuals.
Les mesures de seguretat específiques per a categories especials de dades són:
- Portar al dia un registre de les activitats del tractament
- Quan l'activitat principal de l'Responsable del tractament contempli un tractament de dades a gran escala:
- Realitzar una avaluació d'impacte
- Designar un delegat de Protecció de Dades (DPO)
Per clarificar els termes "
activitat principal" i "
gran escala" detallem el seu significat:
- Tractaments a gran escala: Operacions de tractament que persegueixen tractar una quantitat considerable de dades personals que afecten un gran nombre de ciutadans amb la probabilitat d'existir un alt risc per als drets i llibertats dels mateixos.
- Activitat principal de l'Responsable o Encarregat del tractament: Al que es dedica l'empresa, és a dir, la seva activitat econòmica. Per exemple, en una fàbrica de mitjons l'activitat principal és la seva fabricació i venda; en una empresa de treball temporal (ETT) la seva activitat principal és elaborar perfils de persones per proporcionar-los un ocupació. És molt important discernir si l'activitat principal es basa, o no, en el tractament de dades personals.
TRACTAMENT |
MESURES DE SEGURETAT |
Licitud |
- Consentiment explícit per a fins específics
- Realitzat per organitzacions sense ànim de lucre amb finalitat política, filosòfica, religiosa o sindical.
- Tractament fonamentat en la legislació vigent.?
|
Siempre |
|
Gran escala |
- Categoria de tractament d'alt risc.
- Avaluació d'impacte.
- Designació d'un DPO.
|
Categories de dades penals
Aquesta categoria es refereix al tractament de dades relatives a condemnes i delictes penals o mesures de seguretat afins.
Les mesures de seguretat específiques per a categories de dades penals són:
- Portar al dia un registre de les activitats del tractament.
- Realitzar una avaluació d'impacte.
- Quan l'activitat principal de l'Responsable del tractament contempli un tractament de dades a gran escala: Designar un delegat de Protecció de Dades (DPO).
TRACTAMENT |
MESURES DE SEGURETAT |
Licitud |
- Tractament fonamentat en la legislació vigent.
|
Sempre |
- Registre d'activitats.
- Categoria de tractament d'alt risc.
- Avaluació d'impacte.
|
Gran escala |
|
Informació relacionada
Seguiment del curs Aplicació del GDPR
Tema anterior: 3. Responsabilitat del tractament Tema següent: 5. Categories de tractament