asesoria juridica tecnologia - medidas seguridad rgpd / gdpr - lopd - abogados en madrid y abogados en barcelona

La Ley Orgánica de Protección de Datos (RD1720/2007) establece medidas específicas de seguridad a aplicar según el nivel de datos tratados.

Sin embargo, el nuevo Reglamento General de Protección de Datos (RGPD) no detalla de forma exhaustiva estas medidas. Únicamente establece que responsables y encargados de tratamiento deberán fijar las medidas técnicas y organizativas apropiadas para garantizar un nivel adecuado de seguridad. Y tendrán que hacerlo teniendo en cuenta los riesgos detectados en un análisis previo que debe ser realizado.

Además, responsables y encargados deberán estar en condiciones de demostrar la aplicación de dichas medidas (responsabilidad activa).

Estas medidas técnicas y organizativas tienen que establecerse teniendo en cuenta lo siguiente:

  • El coste de la técnica
  • Los costes de aplicación
  • La naturaleza, el alcance, el contexto y los fines de tratamiento
  • Los riesgos para los derechos y libertades

En algunos casos, los responsables podrán seguir aplicando las mismas medidas que establece el reglamento de la LOPD, siempre y cuando los resultados del análisis de riesgo concluyan que las medidas son las más adecuadas.

A modo de ejemplo, estas pueden ser algunas:

  • Seudonimización y cifrado de datos personales.
  • Capacidad de garantizar, de forma permanente, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento.
  • Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia.
  • Verificación y evaluación periódica de la eficacia de las medidas aplicadas.

La adhesión a un código de conducta o a un mecanismo de certificación también puede ser de utilidad para demostrar el cumplimiento de estos requisitos.

Análisis de riesgos del RGPD

Todos los responsables tienen que realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas hay aplicar y cómo hacerlo. El tipo de análisis variará en función del tipo de tratamientos, la naturaleza de los datos, el número de interesados afectados y la cantidad y variedad de tratamientos que se lleven a cabo.

En este sentido, podemos establecer dos tipologías de análisis según el tamaño/complejidad de los responsables:

  • Grandes organizaciones. Como regla general, en estos casos el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgos existentes.
  • Organizaciones pequeñas con tratamientos de poca complejidad. El análisis será el resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. Se deberán analizar cuestiones como las que exponemos a continuación. Cuantas más respuestas afirmativas, mayor será el riesgo que podría derivarse de dicho tratamiento. 
    • ¿Se tratan datos sensibles?
    • ¿Se incluyen datos de una gran cantidad de personas?
    • ¿Incluye el tratamiento elaboración de perfiles?
    • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
    • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
    • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
    • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?

Si la respuesta a estas preguntas es negativa, se podría concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no deben poner en marcha las medidas previstas para estos casos.

Evaluaciones de impacto

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

Estos son algunos supuestos en los que se considera que los tratamientos conllevan un alto riesgo:

  • Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
  • Tratamientos a gran escala de datos sensibles.
  • Observación sistemática a gran escala de una zona de acceso público.

Las autoridades de protección de datos están obligadas a confeccionar listas adicionales de tratamiento que requerirán una EIPD, así como listas especificas en las que no se requiera la EIPD.

Asimismo, es posible realizar una única EIPD para varios tratamientos similares que entrañen altos riesgos similares.

En este sentido, para valorar si un tratamiento se realiza a gran escala debe tenerse en cuenta lo siguiente:

  • El número de interesados afectados, bien en términos absolutos o bien como proporción de una determinada población.
  • El volumen de datos y la variedad de datos tratados.
  • La duración o permanencia de la actividad de tratamiento.
  • La extensión geográfica de la actividad de tratamiento.

Protección de datos desde el diseño y por defecto

Este tipo de medidas reflejan, de manera directa, el enfoque de responsabilidad proactiva. 

Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.

Estas medidas se aplicarán en el momento en el que exista la necesidad de recabar datos y durante todo el proceso de tratamiento (p.ej. seudonimización). Y tendrán que ir en función del riesgo para los derechos y libertades de los interesados.

Del mismo modo, los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad de los datos.

Medidas técnicas y organizativas apropiadas para garantizar que solo sean objeto de tratamiento los datos personales necesarios para cada uno de los fines específicos.

Para más información, puedes contactar con el departamento de protección de datos de GD Legal.