Una de las cuestiones que particularmente me estoy encontrando últimamente, con los Responsables de Tratamiento a la hora de realizar una adaptación al RGPD es la de qué medidas de seguridad son obligatorias. Y mi respuesta suele ser clara: las que quieras, en función de los riesgos que tengas. Claro, muchas veces esto no se entiende porque con la actual normativa, las medidas, como sabemos, no son las que el responsable quiera, sino las que marca nuestro querido Título VIII del Real Decreto 1720/2007.
En mi opinión, en materia de seguridad hemos pasado de un sistema paternalista, donde la legislación indicaba qué medidas concretas debo adoptar, gusten o no, a un sistema en la que se deja mayor libertad a los responsables a la hora de elegir las medidas de seguridad. A esto último, muchos responsables no suelen estar acostumbrados porque se habían acomodado a que les dijesen las concretas medidas de seguridad que debían aplicar a sus tratamientos. De ahí, que muchas veces la respuesta de “las que quieras, en función de los riesgos que tengas”, no se entienda.
Vamos a analizar como es este nuevo sistema de gestión de riesgos, en cuanto a medidas de seguridad en el RGPD. Son 2 artículos clave en este aspecto: el artículo 5.1.f y el 32 que desarrolla el anterior.
El artículo 5.1.f recoge, como uno de los principios en materia de protección de datos el del tratamiento de los datos con una seguridad adecuada. Ya el propio nombre es esclarecedor: seguridad adecuada. Este principio significa que se deben aplicar medidas técnicas y organizativas adecuadas a los tratamientos para:
- Protegerse contra tratamientos no autorizados o ilícitos.
- Protegerse de la perdida, destrucción y daño accidental de los datos.
¿Cómo se debe llevar a cabo la materialización de este principio? El artículo 32 del RGPD nos lo aclara:
- Hay que aplicar medidas técnicas y organizativas teniendo en cuenta estos requerimientos previos:
- El estado de la técnica.
- Los costes de aplicación de las medidas.
- La naturaleza, alcance, contexto y finalidades del tratamiento.
- Los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.
- En relación con el último de estos requerimientos, el del análisis o evaluación de riesgos (y que posteriormente, va a servir de argumento para poder elegir las medidas técnicas y organizativas) se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales: destrucción, pérdida o alteración accidental o ilícita de datos personales, comunicación o acceso no autorizados a dichos datos, y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales. (El Considerando 83 del RGPD es muy esclarecedor en este aspecto).
- Estas medidas pueden ser (no son obligatorias, ya pueden existir otras y no tienen que aplicarse todas ellas):
- Seudonimización (como bien comentaba mi compañero Gonzalo Álvarez en su Blog esta palabra no existe en nuestra lengua, ni en nuestro ordenamiento jurídico y jurídicamente quizás debiera equipararse al de anonimización) y cifrado.
- Capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia.
- Capacidad para restaurar la disponibilidad y acceso a datos tras un incidente.
- Proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.
- Además, es necesario que, ahora sí, en todo caso, se garantice que toda persona dependiente del responsable (o encargado, en su caso) de tratamiento, únicamente podrá acceder a los datos personales siguiendo las instrucciones que le dicte el Responsable.
Y no hay más. Así es como se trata el principio de seguridad en el RGPD. No vamos a encontrar ni documento de seguridad, ni listado de usuarios, ni auditorías bienales, ni registros de accesos, ni registro de entrada y salida de soportes,ni inventarios….Estas medidas “paternalistas” dejarán de ser obligatorias el año que viene y pasaran a ser medidas elegibles por los responsables o encargados de tratamientos, una vez realizado el pertinente análisis de riesgos.
Posdata: En el caso de Administraciones Públicas y a criterio de nuestra Agencia de Protección de Datos (recogidos en sus Orientaciones sobre el nuevo RGPD para Administraciones Públicas y para Entidades Locales), para la aplicación del principio de tratamiento de datos con una seguridad adecuada, se debe tener en cuenta los criterios establecidos en el Esquema Nacional de Seguridad (que parece que están siendo revisados para adaptarlo al RGPD) y las metodologías de análisis de riesgos ya utilizadas por las Administraciones.
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
