¿Cuáles son las medidas de seguridad en el RGPD?


Una de las cuestiones que particularmente me estoy encontrando últimamente, con los Responsables de Tratamiento a la hora de realizar una adaptación al RGPD es la de qué medidas de seguridad son obligatorias. Y mi respuesta suele ser clara: las que quieras, en función de los riesgos que tengas. Claro, muchas veces esto no se entiende porque con la actual normativa, las medidas, como sabemos, no son las que el responsable quiera, sino las que marca nuestro querido Título VIII del Real Decreto 1720/2007.

En mi opinión, en materia de seguridad hemos pasado de un sistema paternalista, donde la legislación indicaba qué medidas concretas debo adoptar, gusten o no, a un sistema en la que se deja mayor libertad a los responsables a la hora de elegir las medidas de seguridad. A esto último, muchos responsables no suelen estar acostumbrados porque se habían acomodado a que les dijesen las concretas medidas de seguridad que debían aplicar a sus tratamientos. De ahí, que muchas veces la respuesta de “las que quieras, en función de los riesgos que tengas”, no se entienda.

Vamos a analizar como es este nuevo sistema de gestión de riesgos, en cuanto a medidas de seguridad en el RGPD. Son 2 artículos clave en este aspecto: el artículo 5.1.f y el 32 que desarrolla el anterior.

El artículo 5.1.f recoge, como uno de los principios en materia de protección de datos el del tratamiento de los datos con una seguridad adecuada. Ya el propio nombre es esclarecedor: seguridad adecuada. Este principio significa que se deben aplicar medidas técnicas y organizativas adecuadas a los tratamientos para:

  • Protegerse contra tratamientos no autorizados o ilícitos.
  • Protegerse de la perdida, destrucción y daño accidental de los datos.

¿Cómo se debe llevar a cabo la materialización de este principio? El artículo 32 del RGPD nos lo aclara:

  • Hay que aplicar medidas técnicas y organizativas teniendo en cuenta estos requerimientos previos:
    • El estado de la técnica.
    • Los costes de aplicación de las medidas.
    • La naturaleza, alcance, contexto y finalidades del tratamiento.
    • Los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.
  • En relación con el último de estos requerimientos, el del análisis o evaluación de riesgos (y que posteriormente, va a servir de argumento para poder elegir las medidas técnicas y organizativas) se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales: destrucción, pérdida o alteración accidental o ilícita de datos personales, comunicación o acceso no autorizados a dichos datos, y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales. (El Considerando 83 del RGPD es muy esclarecedor en este aspecto).
  • Estas medidas pueden ser (no son obligatorias, ya pueden existir otras y no tienen que aplicarse todas ellas):
    • Seudonimización (como bien comentaba mi compañero Gonzalo Álvarez  en su Blog esta palabra no existe en nuestra lengua, ni en nuestro ordenamiento jurídico y jurídicamente quizás debiera equipararse al de anonimización) y cifrado.
    • Capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia.
    • Capacidad para restaurar la disponibilidad y acceso a datos tras un incidente.
    • Proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.
  • Además, es necesario que, ahora sí, en todo caso, se garantice que toda persona dependiente del responsable (o encargado, en su caso) de tratamiento, únicamente podrá acceder a los datos personales siguiendo las instrucciones que le dicte el Responsable.

Y no hay más. Así es como se trata el principio de seguridad en el RGPD. No vamos a encontrar ni documento de seguridad, ni listado de usuarios, ni auditorías bienales, ni registros de accesos, ni registro de entrada y salida de soportes,ni inventarios….Estas medidas “paternalistas” dejarán de ser obligatorias el año que viene y pasaran a ser medidas elegibles por los responsables o encargados de tratamientos, una vez realizado el pertinente análisis de riesgos.

Posdata: En el caso de Administraciones Públicas y a criterio de nuestra Agencia de Protección de Datos (recogidos en sus Orientaciones sobre el nuevo RGPD para Administraciones Públicas y para Entidades Locales), para la aplicación del principio de tratamiento de datos con una seguridad adecuada, se debe tener en cuenta los criterios establecidos en el Esquema Nacional de Seguridad (que parece que están siendo revisados para adaptarlo al RGPD) y las metodologías de análisis de riesgos ya utilizadas por las Administraciones.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

5 comentarios sobre “¿Cuáles son las medidas de seguridad en el RGPD?

  1. Esta ambigüedad podría complicar mucho las cosas en cuanto a transferencias internacionales e interoperabilidad entre estados miembro de la UE.
    Por otra parte, la AGPD propone que se utilice el ENS como base para definir las medidas de seguridad. Teniendo en cuenta que el ENS no es otra cosa que una ISO 27K “adaptada”, ¿crees que las medidas de seguridad aplicables podrían ser, explícitamente, aquellas que propone la ISO 27002?

    1. Por poder, si sin problemas…Ahora bien, la ISO 27001 Habla de información en general, mientras que el RGPD es para datos personales, que tiene unos riesgos específicos que no toda información tiene y por tanto en la identificación u análisis de riesgos habría que tener en cuenta

      1. Claro, eso por supuesto, pero a lo que voy es que el impacto de la pérdida de cualquiera de las dimensiones de seguridad será igual si hablamos de información sensible o DCP… Yo creo que eso de “aplica las medidas en función del riesgo” es una forma de decir “los DCP son, todos, información sensible, ponte en el peor de los casos y triunfarás”… De todas formas, en la administración (en teoría) debería estar implementado el ENS, por lo que no debería ser un problema la definición de las medidas de seguridad para DCP. ¿No crees?

      2. El ENS, tiene unas medidas pensando en riesgos propios de las AAPP, y además los propios del tratamiento de datos bajo LOPD…Por lo que sé, se está trabajando en un nuevo ENS, “adaptado” al RGPD.
        Por otro lado, lo que venía a decir con el post, es que no hay unas medidas de seguridad juricamente obligatorias, como si son las del Título VIII del RD 1720/2007
        Un ejemplo: Si eras una empresa con servicio médico, con el RD 1720/2007, tenías que implantar un sistema donde se registren los accesos a los datos de salud y, además, como un contenido específico que te indicaba el RD. Con el RGPD, implantarás ese registro en función de los riesgos que vea esa empresa. Puede que sí o puede que no.

  2. Si entiendo perfectamente lo que dices, pero saliéndonos del tema jurídico y centrándonos en lo “práctico”, una administración podría extrapolar las medidas de seguridad que aplica con el ENS a los DCP, así como una empresa cualquiera puede hacerlo con su SGSI, porque en el fondo las medidas de seguridad aplicadas y aplicables siempre van acorde con el resultado de un AARR previo.
    También se puede partir de las medidas del Título VIII y fusionarlas con el ENS/SGSI… Yo creo que el objetivo es unificar las medidas de seguridad para un tratamiento, independientemente del tipo de datos que se manejan, evidentenemte teniendo en cuenta la sensibilidad y naturaleza de los mismos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.