Medidas de seguridad en el RGPD

Mientras la Ley Orgánica de Protección de Datos establece medidas específicas de seguridad a aplicar según el nivel de datos tratados, el nuevo Reglamento General de Protección de Datos (RGPD) no detalla de forma exhaustiva estas medidas. Únicamente establece que los responsables y encargados de tratamiento deben fijar las medidas técnicas y organizativas apropiadas para garantizar un nivel adecuado de seguridad, siempre teniendo en cuenta los riesgos detectados en un análisis previo que debe realizarse.

Además, responsables y encargados deberán estar en condiciones de demostrar la aplicación de dichas medidas teniendo en cuenta lo siguiente:

  • El coste de la técnica
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines de tratamiento
  • Los riesgos para los derechos y libertades

abogados para servicio jurídico en rgpd y lopd para medidas seguridad

Siempre y cuando los resultados del análisis de riesgo concluyan que las medidas son las más adecuadas, los responsables podrán seguir aplicando las mismas medidas de seguridad que establece la LOPD. Medidas como la pseudonimización y cifrado de datos personales; la capacidad de garantizar, de forma permanente, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia y la verificación y evaluación periódica de la eficacia de las medidas aplicadas.

En este sentido, la adhesión a un código de conducta o a un mecanismo de certificación también puede ser de utilidad para demostrar el cumplimiento de estos requisitos.

Análisis de riesgos del RGPD

Todos los responsables tienen que hacer una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas hay aplicar y cómo hacerlo. El tipo de análisis variará en función del tipo de tratamiento, la naturaleza de los datos, el número de interesados afectados y la cantidad y variedad de tratamientos que se lleven a cabo.

En este sentido, podemos establecer dos tipologías de análisis según el tamaño/complejidad de los responsables:

  • Grandes organizaciones. En estos casos, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgos existentes.
  • Organizaciones pequeñas con tratamientos de poca complejidad. El análisis será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. Se deberán analizar cuestiones como las que exponemos a continuación. Cuantas más respuestas afirmativas, mayor será el riesgo que podría derivarse de dicho tratamiento. 
    • ¿Se tratan datos sensibles?
    • ¿Se incluyen datos de una gran cantidad de personas?
    • ¿Incluye el tratamiento elaboración de perfiles?
    • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
    • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
    • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
    • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

abogado experto en derecho de la tecnología y aplicacion LOPD

Evaluaciones de impacto

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), con carácter previo a la puesta en marcha de aquellos tratamientos en los que sea probable que exista un alto riesgo para los derechos y libertades de los interesados.

Estos son algunos supuestos en los que se considera que los tratamientos conllevan un alto riesgo:

  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
  • Tratamientos a gran escala de datos sensibles.
  • Observación sistemática a gran escala de una zona de acceso público.

Las autoridades de protección de datos están obligadas a confeccionar listas adicionales de tratamiento que requerirán una EIPD, así como listas especificas en las que no se requiera la misma.

En este sentido, para valorar si un tratamiento se realiza a gran escala, debe tenerse en cuenta lo siguiente:

  • El número de interesados afectados, bien en términos absolutos o bien como proporción de una determinada población.
  • El volumen de datos y la variedad de datos tratados.
  • La duración o permanencia de la actividad de tratamiento.
  • La extensión geográfica de la actividad de tratamiento.

Protección de datos desde el diseño y por defecto

Este tipo de medidas reflejan, de manera directa, el enfoque de responsabilidad proactiva. 

abogado madrid y abogado barcelona para pequeñas y medianas empresas, emprendedor, startups y sociedades

Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD. Estas medidas se aplicarán en el momento en el que exista la necesidad de recabar datos y durante todo el proceso de tratamiento (p.ej. seudonimización) y tendrán que ir en función del riesgo para los derechos y libertades de los interesados.

Del mismo modo, los responsables deben adoptar medidas que garanticen que solo se tratan los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad de los datos..

Para más información, puedes contactar con nuestros abogados en Madrid y nuestros abogados en Barcelona expertos en RGPD.

Despacho de abogados en Madrid y Barcelona

dudas

¿Tienes alguna duda?

Si tienes alguna alguna duda acerca de "Medidas de seguridad en el RGPD " ponte en contacto con nosotros.

Contacta ahora
Anterior
Siguiente