GDPR 11. La seguridad del tratamiento


Josep Aragonés Salvat     05/09/2016

Política de seguridad


Ya en el artículo 5, apartado f) del GDPR se establece como uno de los principios relativos al tratamiento el Principio de Integridad y Confidencialidad, disponiendo que los datos serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.

Para garantizar el cumplimiento de este principio, el GDPR incluye las disposiciones relativas a la aplicación de medidas técnicas u organizativas apropiadas que garanticen la seguridad de los datos en el Capítulo IV (Responsable del tratamiento y encargado del tratamiento) compuesto por las siguientes secciones:
 
  1. Obligaciones generales (artículos 24 a 31)
  2. Seguridad de los datos personales (artículos 32 a 34)
  3. Evaluación de impacto relativa a la protección de datos y consulta previa (artículos 35 y36)
  4. Delegado de protección de datos (artículos 37 a 39)
  5. Códigos de conducta y certificación (artículos 40 a 43)
 
Todo el Reglamento en general y el capítulo IV en particular son en sí mismo un cúmulo de disposiciones de seguridad para la protección de datos. Por ello y como resumen de la política de seguridad a implementar, se deben aplicar las siguientes medidas:
 
  • Responsabilidad:
    • Acuerdos de confidencialidad con el Personal autorizado
    • Contratos con los Encargados del tratamiento
    • Acuerdos con los Corresponsables del tratamiento
    • Contratos con los Destinatarios de los datos
 
  • Estructura técnica:
    • Ejecución de los derechos de los interesados
    • Protección de datos desde diseño y por defecto
    • Análisis de los riesgos del tratamiento
    • Evaluación de impacto (si existen riesgos)
    • Resolución de violaciones de la seguridad
 
  • Estructura organizativa:
    • Acceso a equipos y redes informáticas
    • Acceso a categorías especiales de datos (si existen)
    • Protección de equipos y redes informáticas
    • Copias de respaldo
    • Transporte y transmisión de datos
    • Transferencias internacionales (si existen)
    • Destrucción de datos 
 

Responsabilidad del tratamiento (artículo 24)


El Responsable del tratamiento, antes y durante el tratamiento, deberá aplicar medidas de protección de datos proporcionadas en relación con las actividades del tratamiento e implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento del Reglamento, teniendo en cuenta:
 
  • La naturaleza, ámbito, contexto, y fines del tratamiento.
  • Los riesgos para los derechos y libertades de los interesados.
  • El tipo de organización.
 
 Más información sobre la responsabilidad del tratamiento en: La Responsabilidad del tratamiento
 

 

Protección de datos desde el diseño y por defecto (artículo 25)


El Responsable del tratamiento deberá garantizar desde el diseño y por defecto, antes y durante el tratamiento, la aplicación efectiva de los principios de protección de datos a todos datos personales tratados, así como al plazo de conservación y a su accesibilidad:
 
  • Que el tratamiento se realice para fines específicos, o sea, recogidos con fines determinados, explícitos y legítimos y no tratados posteriormente de manera incompatible con dichos fines.
  • La minimización de datos, siendo adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados
  • La exactitud, confidencialidad, integridad, seguridad física y supresión de los datos.
  • La protección de los derechos del interesado.
  • Que los datos no sean accesibles, sin la intervención humana, a un número indeterminado de personas.
  • La aplicación de los resultados de la evaluación de impacto.
 
El Responsable del tratamiento podrá utilizar los mecanismos de certificación establecidos en el Reglamento (artículo 42) para demostrar la protección de los datos desde el diseño y por defecto.


 

Seguridad del tratamiento (artículo 32)


El Responsable y el Encargado del tratamiento deberán implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.

La política de seguridad deberá garantizar la implantación de medidas adecuadas para la protección de los derechos y libertades de los interesados. Para evaluar el nivel de seguridad a implantar, se tendrán en cuenta los riesgos que pueda tener el tratamiento como consecuencia de:
 
  • La destrucción accidental o ilícita de datos.
  • La pérdida, alteración o comunicación no autorizada.
  • El acceso a los datos cuando sean transmitidos, conservados u objeto de algún otro tipo de tratamiento.

Se aplicarán, según corresponda la probabilidad y gravedad del riesgo que entrañe del tratamiento, las siguientes medidas:
 
  • La seudonimización y el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia de los sistemas y servicios del tratamiento.
  • La capacidad de garantizar que el personal autorizado realizará el tratamiento siguiendo las instrucciones del Responsable o Encargado del tratamiento o por una obligación legal (fundamentada en la legislación vigente).
  • La capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de un incidente físico o técnico.
  • La eficacia continua, mediante la implantación de procesos de verificación, evaluación y valoración de las medidas de seguridad adoptadas.

El Responsable o Encargado del tratamiento podrán utilizar la adhesión a los Códigos de conducta o mecanismos de Certificación establecidos en el Reglamento para demostrar la implantación de las medidas de seguridad.
 

 

Violación de la seguridad de los datos (artículos 33 y 34)


El Responsable y el Encargado del tratamiento deben tomar suficientes medidas para prevenir daños o perjuicios a interesados o terceros en el transcurso del tratamiento de datos, tales como la pérdida de control sobre sus datos personales o la restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física.

También obliga al Responsable a notificar dichas violaciones a la Autoridad de control en un máximo de 72 horas e incluso a comunicarlas a los interesados afectados si se prevé que la incidencia pueda entrañar un alto riesgo para sus derechos y libertades.

Más información sobre violaciones de la seguridad en: La violación de seguridad


 

Evaluación de impacto relativa a la protección de datos (artículo 35)


El Responsable del tratamiento será el encargado de evaluar el origen, la naturaleza, la particularidad y la gravedad de los riesgos del tratamiento y de diseñar medidas adecuadas para mitigarlos y garantizar la protección de datos, habida cuenta de la tecnología disponible y los costes de aplicación. Para ello, el Responsable del tratamiento deberá realizar una evaluación de impacto cuando:
 
  • Se utilicen nuevas tecnologías y si naturaleza, alcance, contexto o fines del tratamiento prevean un alto riesgo.
  • El tratamiento se base en una elaboración de perfiles que puedan afectar significativamente a los interesados con efectos jurídicos o de algún otro modo.
  • Se traten datos relativos a condenas y delitos penales.
  • Exista un tratamiento a gran escala basado en la observación sistemática de una zona de acceso público o en categorías especiales de datos.
 
Más información sobre la evaluación de impacto en: La evaluación de impacto
 
 

Seguimiento del curso Experto en el GDPR


Tema anterior: 10. Los Destinatarios de datos     Tema siguiente: 12. La violación de seguridad



Información relacionada