Com implantar les mesures de seguretat del nou Reglament europeu GDPR?


Josep M Merenciano     15/02/2017


 

Mecanismes de seguretat per protegir adequadament les dades personals

 
Tota mesura de seguretat ha de venir ja des del disseny del tractament.
 
Tot i així, cada categoria de dades, i cada tipus de tractament, exigeix unes condicions de seguretat diferents.
 
Les dades bàsiques les hem de tractar de tal manera que mantinguin la integritat i la confidencialitat, i de tal manera que el RT (Responsable del tractament) en pugui demostrar aquestes propietats. Això obliga a definir, dins la Política de seguretat, un protocol d’actuació que asseguri la protecció de les dades en tot moment del tractament.
 
Les mesures de  seguretat aplicades han d’estar amb consonància al risc que comporti la seva pèrdua d’integritat o de confidencialitat. Cal per tant analitzar l’impacte negatiu que suposa per als interessats cadascun dels supòsits de risc del tractament: destrucció de dades, pèrdua o alteració; accés o comunicació no autoritzada; etc.
 
Segons l’impacte del risc s’aplicaran mesures administratives i tècniques diferents. Algunes mesures administratives són els acords de confidencialitat o les auditories externes. Algunes mesures tècniques de seguretat són el xifrat de les dades o les còpies de seguretat.
 
Si l’impacte del risc és elevat, caldrà realitzar una avaluació d’impacte i definir els protocols d’actuació en cas de sinistre.
 
El GDPR no imposa unes condicions de seguretat concretes per assegurar la seguretat. Malgrat això, i amb la filosofia que la seguretat no és una opció, caldrà tenir sempre unes mesures mínimes, que van més enllà del simple tractament de les dades, automatitzat o no. Es tracta de considerar aspectes com l’eliminació de documents, la identificació dels usuaris en els sistemes de l’empresa, la conservació de documents, l’espai físic on es treballa i on es desen les còpies de seguretat o els documents, etc. Sempre però amb proporcionalitat a l’impacte dels riscos involucrats.
 
 
 

Mesures de seguretat a adoptar quan un tractament comporti un alt risc per als drets i llibertats dels interessats

 
En aquest cas cal començar per una avaluació d’impacte. Tot i que l’Autoritat de control pot definir una llista de supòsits en els que cal realitzar aquesta avaluació, estem obligats a fer-la
sempre que els tractaments siguin tractaments automatitzats d’alt risc;  siguin tractaments a gran escala d’una observació d’un espai públic, o de categories especials de dades; siguin tractaments amb creació de perfils o que manipulin dades penals.
 
En el cas de tractaments a gran escala o amb dades penals caldrà definir un Delegat de Protecció de dades, que és l’encarregat d’informar al RT o a l’ET (Encarregat del tractament) de les obligacions que els afectin. Aquest delegat també s’ha de definir en el cas de tractaments d’alt risc que sistemàticament i exhaustiva avaluen aspectes personals.
 



Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya