Archive for the 'Datos Personales' Category

¿Cuáles son las medidas de seguridad en el RGPD?

Una de las cuestiones que particularmente me estoy encontrando últimamente, con los Responsables de Tratamiento a la hora de realizar una adaptación al RGPD es la de qué medidas de seguridad son obligatorias. Y mi respuesta suele ser clara: las que quieras, en función de los riesgos que tengas. Claro, muchas veces esto no se entiende porque con la actual normativa, las medidas, como sabemos, no son las que el responsable quiera, sino las que marca nuestro querido Título VIII del Real Decreto 1720/2007.

En mi opinión, en materia de seguridad hemos pasado de un sistema paternalista, donde la legislación indicaba qué medidas concretas debo adoptar, gusten o no, a un sistema en la que se deja mayor libertad a los responsables a la hora de elegir las medidas de seguridad. A esto último, muchos responsables no suelen estar acostumbrados porque se habían acomodado a que les dijesen las concretas medidas de seguridad que debían aplicar a sus tratamientos. De ahí, que muchas veces la respuesta de “las que quieras, en función de los riesgos que tengas”, no se entienda.

Vamos a analizar como es este nuevo sistema de gestión de riesgos, en cuanto a medidas de seguridad en el RGPD. Son 2 artículos clave en este aspecto: el artículo 5.1.f y el 32 que desarrolla el anterior.

El artículo 5.1.f recoge, como uno de los principios en materia de protección de datos el del tratamiento de los datos con una seguridad adecuada. Ya el propio nombre es esclarecedor: seguridad adecuada. Este principio significa que se deben aplicar medidas técnicas y organizativas adecuadas a los tratamientos para:

  • Protegerse contra tratamientos no autorizados o ilícitos.
  • Protegerse de la perdida, destrucción y daño accidental de los datos.

¿Cómo se debe llevar a cabo la materialización de este principio? El artículo 32 del RGPD nos lo aclara:

  • Hay que aplicar medidas técnicas y organizativas teniendo en cuenta estos requerimientos previos:
    • El estado de la técnica.
    • Los costes de aplicación de las medidas.
    • La naturaleza, alcance, contexto y finalidades del tratamiento.
    • Los riesgos de probabilidad y gravedad para los derechos y libertades de las personas interesadas.
  • En relación con el último de estos requerimientos, el del análisis o evaluación de riesgos (y que posteriormente, va a servir de argumento para poder elegir las medidas técnicas y organizativas) se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales: destrucción, pérdida o alteración accidental o ilícita de datos personales, comunicación o acceso no autorizados a dichos datos, y que pudieran ocasionar daños y perjuicios físicos, materiales o inmateriales. (El Considerando 83 del RGPD es muy esclarecedor en este aspecto).
  • Estas medidas pueden ser (no son obligatorias, ya pueden existir otras y no tienen que aplicarse todas ellas):
    • Seudonimización (como bien comentaba mi compañero Gonzalo Álvarez  en su Blog esta palabra no existe en nuestra lengua, ni en nuestro ordenamiento jurídico y jurídicamente quizás debiera equipararse al de anonimización) y cifrado.
    • Capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia.
    • Capacidad para restaurar la disponibilidad y acceso a datos tras un incidente.
    • Proceso de verificación (que no auditoría), evaluación y valoración de la eficacia de las medidas.
  • Además, es necesario que, ahora sí, en todo caso, se garantice que toda persona dependiente del responsable (o encargado, en su caso) de tratamiento, únicamente podrá acceder a los datos personales siguiendo las instrucciones que le dicte el Responsable.

Y no hay más. Así es como se trata el principio de seguridad en el RGPD. No vamos a encontrar ni documento de seguridad, ni listado de usuarios, ni auditorías bienales, ni registros de accesos, ni registro de entrada y salida de soportes,ni inventarios….Estas medidas “paternalistas” dejarán de ser obligatorias el año que viene y pasaran a ser medidas elegibles por los responsables o encargados de tratamientos, una vez realizado el pertinente análisis de riesgos.

Posdata: En el caso de Administraciones Públicas y a criterio de nuestra Agencia de Protección de Datos (recogidos en sus Orientaciones sobre el nuevo RGPD para Administraciones Públicas y para Entidades Locales), para la aplicación del principio de tratamiento de datos con una seguridad adecuada, se debe tener en cuenta los criterios establecidos en el Esquema Nacional de Seguridad (que parece que están siendo revisados para adaptarlo al RGPD) y las metodologías de análisis de riesgos ya utilizadas por las Administraciones.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Anuncios

Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Error: Twitter no responde. Por favor, espera unos minutos y actualiza esta página.

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Interoperabilidad y seguridad: ¿interna o externa?

Posiblemente a los lectores versados en la materia considerarán que la interoperabilidad  y  seguridad son materias consolidadas, sin que la característica relativa a sus interlocutores aporte ninguna cualidad diferencial. Ciertamente, en el ámbito de la regulación legal ambas cualidades tienen un contundente apoyo legal, tanto por los artículos 41 y 42 de la derogada LAECSP, […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica