7 marzo 2018
El nuevo Reglamento General de Protección de Datos (RGPD) trae consigo cambios importantes en lo que respecta a las medidas de seguridad que deben aplicar los sujetos responsables del tratamiento de los datos.
Medidas de seguridad anteriores al RGPD
El artículo 9 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) dispone que el responsable y encargado del tratamiento deberán “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”
Posteriormente, con la entrada en vigor del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (RLOPD), se establece un catálogo de medidas técnicas y organizativas en función del tipo de dato que el responsable trate. Así:
- Las medidas de seguridad de nivel básico afectan a todos los tratamientos de datos de carácter personal.
- Las medidas de seguridad de nivel medio serán de aplicación a los tratamientos de datos que contengan información sobre infracciones administrativas o penales, hacienda pública, servicios financieros o cuando los datos que se traten permitan obtener un perfil de la persona.
- Las medidas de seguridad de nivel alto se aplicarán a los tratamientos de datos que recojan ideología, religión, orientación sexual, inclinación política, datos relativos a la salud o cualquier otro que, de resultar conocido, supusiera la vulneración de los derechos fundamentales de la persona.
Puede consultar las medidas de seguridad recogidas en el RLOPD en la Guía de Seguridad publicada en 2010 por la Agencia Española de Protección de Datos (AEPD). Así como en el texto de la RLOPD, a partir del artículo 79 en adelante.
La consecuencia del establecimiento de un catálogo de medidas de seguridad en base a la naturaleza del dato que se trata, es que no se tienen en cuenta el resto de factores que se disponen en el artículo 9 de la LOPD, como el estado de la técnica o los riesgos.
Medidas de seguridad con el RGPD
EL nuevo RGPD, por su parte, recoge entre sus principios rectores listados en su artículo 5, el principio de integridad y confidencialidad (en su letra f), que establece que los datos personales serán:
“Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”
Sin embargo, no encontramos en la norma un catálogo de medidas para garantizar el cumplimiento de este principio. ¿Cómo podemos entonces aplicar las medidas de seguridad adecuadas?
Si la legislación actual pone el foco en la naturaleza de los datos para la definición de las medidas de seguridad a implantar, el RGPD, en cambio, pone el foco de atención en los riesgos.
Así aparece recogido en su artículo 32 del RGPD:
“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”.
¿Cómo podemos garantizar un nivel de seguridad adecuado al riesgo?
Para poder aplicar las medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado al riesgo, las organizaciones deberán llevar a cabo una adecuada gestión de riesgos. A este respecto, la AEPD ha publicado recientemente un una Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD.
Según la propuesta de la AEPD, el primer paso de la gestión de riesgos, consiste en la identificación de amenazas. Según esta guía, una amenaza es cualquier factor de riesgo con potencial para provocar un daño o perjuicio a los interesados sobre cuyos datos de carácter personal se realiza un tratamiento. Si ponemos el foco en la protección de los datos, las amenazas se pueden categorizar principalmente en tres tipos:
- Acceso ilegítimo a los datos.
- Modificación no autorizada de los datos.
- Eliminación de los datos.
Así, el riesgo sería la posibilidad de que se materialice una amenaza y sus consecuencias negativas. Para estimar el nivel de riesgo, deben tener en cuenta dos factores, la posibilidad de que se materialice y el impacto que tendría para la privacidad de los interesados que se manifestase el riesgo.
Una vez identificados los riesgos, será necesario valorar la necesidad de llevar a cabo una Evaluación de Impacto en Protección de Datos (EIPD). Para ello, la AEPD, propone el uso de su herramienta FACILITA, con la que podremos identificar de forma sencilla si un tratamiento implica un escaso riesgo, no siendo necesario llevar a cabo una EIPD.
En caso de que el tratamiento no comporte un escaso riesgo, debemos realizar una valoración más profunda sobre la necesidad de llevar a cabo una EIPD.
En H&A, abogado de patentes y marcas podemos ayudarte a valorar la necesidad de llevar a cabo una EIPD y, en su caso, a llevarla a cabo, guiándote por todo el proceso.
En próximos artículos hablaremos de la EIPD y de la identificación de las medidas de seguridad adecuadas.
Comentarios
No hay comentarios