¿Cuáles son las medidas de seguridad en el RGPD?


Una de las cuestiones que particularmente me estoy encontrando últimamente, con los Responsables de Tratamiento a la hora de realizar una adaptación al RGPD es la de qué medidas de seguridad son obligatorias. Y mi respuesta suele ser clara: las que quieras, en función de los riesgos que tengas. Claro, muchas veces esto no se entiende porque con la actual normativa, las medidas, como sabemos, no son las que el responsable quiera, sino las que marca nuestro querido Título VIII del Real Decreto 1720/2007.

En mi opinión, en materia de seguridad hemos pasado de un sistema paternalista, donde la legislación indicaba qué medidas concretas debo adoptar, gusten o no, a un sistema en la que se deja mayor libertad a los responsables a la hora de elegir las medidas de seguridad. A esto último, muchos responsables no suelen estar acostumbrados porque se habían acomodado a que les dijesen las concretas medidas de seguridad que debían aplicar a sus tratamientos. De ahí, que muchas veces la respuesta de “las que quieras, en función de los riesgos que tengas”, no se entienda.

Vamos a analizar como es este nuevo sistema de gestión de riesgos, en cuanto a medidas de seguridad en el RGPD. Son 2 artículos clave en este aspecto: el artículo 5.1.f y el 32 que desarrolla el anterior.

El artículo 5.1.f recoge, como uno de los principios en materia de protección de datos el del tratamiento de los datos con una seguridad adecuada. Ya el propio nombre es esclarecedor: seguridad adecuada. Este principio significa que se deben aplicar medidas técnicas y organizativas adecuadas a los tratamientos para:

  • Protegerse contra tratamientos no autorizados o ilícitos.
  • Protegerse de la perdida, destrucción y daño accidental de los datos.

¿Cómo se debe llevar a cabo la materialización de este principio? El artículo 32 del RGPD nos lo aclara:

  • Hay que aplicar medidas técnicas y organizativas teniendo en cuenta estos requerimientos previos:
    • El estado de la técnica.
    • Los costes de aplicación de las medidas.
    • La naturaleza, alcance, contexto y finalidades del tratamiento.
    • Los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.
  • En relación con el último de estos requerimientos, el del análisis o evaluación de riesgos (y que posteriormente, va a servir de argumento para poder elegir las medidas técnicas y organizativas) se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales: destrucción, pérdida o alteración accidental o ilícita de datos personales, comunicación o acceso no autorizados a dichos datos, y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales. (El Considerando 83 del RGPD es muy esclarecedor en este aspecto).
  • Estas medidas pueden ser (no son obligatorias, ya pueden existir otras y no tienen que aplicarse todas ellas):
    • Seudonimización (como bien comentaba mi compañero Gonzalo Álvarez  en su Blog esta palabra no existe en nuestra lengua, ni en nuestro ordenamiento jurídico y jurídicamente quizás debiera equipararse al de anonimización) y cifrado.
    • Capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia.
    • Capacidad para restaurar la disponibilidad y acceso a datos tras un incidente.
    • Proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.
  • Además, es necesario que, ahora sí, en todo caso, se garantice que toda persona dependiente del responsable (o encargado, en su caso) de tratamiento, únicamente podrá acceder a los datos personales siguiendo las instrucciones que le dicte el Responsable.

Y no hay más. Así es como se trata el principio de seguridad en el RGPD. No vamos a encontrar ni documento de seguridad, ni listado de usuarios, ni auditorías bienales, ni registros de accesos, ni registro de entrada y salida de soportes,ni inventarios….Estas medidas “paternalistas” dejarán de ser obligatorias el año que viene y pasaran a ser medidas elegibles por los responsables o encargados de tratamientos, una vez realizado el pertinente análisis de riesgos.

Posdata: En el caso de Administraciones Públicas y a criterio de nuestra Agencia de Protección de Datos (recogidos en sus Orientaciones sobre el nuevo RGPD para Administraciones Públicas y para Entidades Locales), para la aplicación del principio de tratamiento de datos con una seguridad adecuada, se debe tener en cuenta los criterios establecidos en el Esquema Nacional de Seguridad (que parece que están siendo revisados para adaptarlo al RGPD) y las metodologías de análisis de riesgos ya utilizadas por las Administraciones.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Anuncios

5 Responses to “¿Cuáles son las medidas de seguridad en el RGPD?”


  1. 1 Juana 01/02/2018 en 09:56

    Esta ambigüedad podría complicar mucho las cosas en cuanto a transferencias internacionales e interoperabilidad entre estados miembro de la UE.
    Por otra parte, la AGPD propone que se utilice el ENS como base para definir las medidas de seguridad. Teniendo en cuenta que el ENS no es otra cosa que una ISO 27K “adaptada”, ¿crees que las medidas de seguridad aplicables podrían ser, explícitamente, aquellas que propone la ISO 27002?

    • 2 Gontzal 01/02/2018 en 10:08

      Por poder, si sin problemas…Ahora bien, la ISO 27001 Habla de información en general, mientras que el RGPD es para datos personales, que tiene unos riesgos específicos que no toda información tiene y por tanto en la identificación u análisis de riesgos habría que tener en cuenta

      • 3 Juana 01/02/2018 en 10:23

        Claro, eso por supuesto, pero a lo que voy es que el impacto de la pérdida de cualquiera de las dimensiones de seguridad será igual si hablamos de información sensible o DCP… Yo creo que eso de “aplica las medidas en función del riesgo” es una forma de decir “los DCP son, todos, información sensible, ponte en el peor de los casos y triunfarás”… De todas formas, en la administración (en teoría) debería estar implementado el ENS, por lo que no debería ser un problema la definición de las medidas de seguridad para DCP. ¿No crees?

      • 4 Gontzal 01/02/2018 en 10:48

        El ENS, tiene unas medidas pensando en riesgos propios de las AAPP, y además los propios del tratamiento de datos bajo LOPD…Por lo que sé, se está trabajando en un nuevo ENS, “adaptado” al RGPD.
        Por otro lado, lo que venía a decir con el post, es que no hay unas medidas de seguridad juricamente obligatorias, como si son las del Título VIII del RD 1720/2007
        Un ejemplo: Si eras una empresa con servicio médico, con el RD 1720/2007, tenías que implantar un sistema donde se registren los accesos a los datos de salud y, además, como un contenido específico que te indicaba el RD. Con el RGPD, implantarás ese registro en función de los riesgos que vea esa empresa. Puede que sí o puede que no.

  2. 5 Juana 01/02/2018 en 12:06

    Si entiendo perfectamente lo que dices, pero saliéndonos del tema jurídico y centrándonos en lo “práctico”, una administración podría extrapolar las medidas de seguridad que aplica con el ENS a los DCP, así como una empresa cualquiera puede hacerlo con su SGSI, porque en el fondo las medidas de seguridad aplicadas y aplicables siempre van acorde con el resultado de un AARR previo.
    También se puede partir de las medidas del Título VIII y fusionarlas con el ENS/SGSI… Yo creo que el objetivo es unificar las medidas de seguridad para un tratamiento, independientemente del tipo de datos que se manejan, evidentenemte teniendo en cuenta la sensibilidad y naturaleza de los mismos.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

¿Se aplica a mi empresa la nueva Ley de Ciberseguridad?

Recientemente se ha aprobado el Real Decreto-ley 12/2018, denominado “de seguridad de las redes y sistemas de información” y que popularmente se conoce como la Ley de Ciberseguridad, aún cuando el acrónimo sea LSRSI. Personalmente, nunca he sido partidario del incremento de la normativa, pero ésta -como otras muchas- viene impuesta por nuestra inclusión en el […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

El interés público y la transparencia como habilitante para saber si se ha cursado un Máster

A continuación reproduzco el HILO de twitter en el que abordé un nuevo enfoque que podría dar legitimidad a una Universidad para indicar si una persona que ostenta un cargo público ha cursado unos estudios o no. Hilo publicado en twitter el 10 de Abril de 2018 [https://twitter.com/gahazas/status/983626713203662848] Últimamente, he leído en medios de comunicación […]

Anuncios

jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: