Toda medida de seguridad debe venir ya desde el diseño del tratamiento.
Sin embargo, cada categoría de datos, y cada tipo de tratamiento, exige unas condiciones de seguridad diferentes.
Los datos básicos debemos tratarlos de tal manera que mantengan la integridad y la confidencialidad, y de tal forma que el RT (Responsable del tratamiento) pueda demostrar estas propiedades. Esto obliga a definir, dentro de la Política de seguridad, un protocolo de actuación que asegure la protección de los datos en todo momento del tratamiento.
Las medidas de seguridad aplicadas deben estar en consonancia al riesgo que conlleve su pérdida de integridad o de confidencialidad. Hay por tanto analizar el impacto negativo que supone para los interesados ??cada uno de los supuestos de riesgo del tratamiento: destrucción de datos, pérdida o alteración; acceso o comunicación no autorizada; etc.
Según el impacto del riesgo se aplicarán medidas administrativas y técnicas diferentes. Algunas medidas administrativas son los acuerdos de confidencialidad o las auditorías externas. Algunas medidas técnicas de seguridad son el cifrado de los datos o las copias de seguridad.
Si el impacto del riesgo es elevado, habrá que realizar una evaluación de impacto y definir los protocolos de actuación en caso de siniestro.
El GDPR no impone unas condiciones de seguridad concretas para asegurar la seguridad. Pese a ello, y con la filosofía de que la seguridad no es una opción, habrá que tener siempre unas medidas mínimas, que van más allá del simple tratamiento de los datos, automatizado o no. Se trata de considerar aspectos como la eliminación de documentos, la identificación de los usuarios en los sistemas de la empresa, la conservación de documentos, el espacio físico donde se trabaja y donde se guardan las copias de seguridad o los documentos, etc. Siempre pero con proporcionalidad al impacto de los riesgos involucrados.
En este caso hay que empezar por una evaluación de impacto. Aunque la Autoridad de control puede definir una lista de supuestos en los que hay que realizar esta evaluación, estamos obligados a hacerla siempre que los tratamientos sean tratamientos automatizados de alto riesgo; sean tratamientos a gran escala de una observación de un espacio público, o de categorías especiales de datos; sean tratamientos con creación de perfiles o que manipulen datos penales.
En el caso de tratamientos a gran escala o con datos penales habrá que definir un Delegado de Protección de datos, que es el encargado de informar al RT o al TE (Encargado del tratamiento) de las obligaciones que les afecten. Este delegado también se debe definir en el caso de tratamientos de alto riesgo que sistemáticamente y exhaustiva evalúan aspectos personales.
Josep M Merenciano
Departament de Ciències de la Computació
Escola Politècnica Superior d'Enginyeria de Vilanova i la Geltrú (EPSVEG)
Universitat Politècnica de Catalunya