Las novedades en medidas de seguridad  del nuevo Reglamento Europeo de Protección de Datos.

A diferencia de la LOPD, el Reglamento Europeo de Protección de Datos no impone una lista taxativa de medidas de seguridad. En el artículo de hoy, explicamos a fondo las novedades que introduce el nuevo RGPD.

1. Medidas de seguridad en la LOPD

 

Con la LOPD 15/1999 y su Reglamento de Desarrollo 1720/2007 se implantaban medidas de seguridad taxativas, que regulaban al detalle qué concretas medidas debían establecer las organizaciones para salvaguardar sus datos de carácter personal.

Las medidas de seguridad vienen recogidas en el art. 80 RLOPD, y se dividen en tres niveles: básico, medio y alto.

Para cada uno de estos niveles, se aplicaban distintas medidas de seguridad en función del tipo de datos objeto del tratamiento y de la necesidad de una mayor o menor confidencialidad e integridad de la información.

A modo de ejemplo, se puede considerar:

  • Seguridad Nivel Básico: Nombre y apellidos, número de teléfono, DNI, etc.
  • Nivel Medio: Datos relativos a solvencia patrimonial y crédito, curriculums, sanciones administrativas, etc.
  • Nivel Alto: Datos relativos a la salud, afiliación sindical, ideología, origen racial o étnico, etc.

Estas medidas eran acumulativas, de manera que cuando un fichero tuviera un tratamiento con un nivel de seguridad Medio, se debían implantar las medidas del Nivel Básico y las del Medio.

Todas estas medidas debían aparecer reflejadas en el Documento de Seguridad de la organización, siendo  requisito imprescindible,  su redacción por el Responsable del Fichero.

 

2. ¿Introduce el Reglamento Europeo de Protección de Datos novedades en cuanto a medidas de seguridad?

 

Con el Reglamento Europeo de Protección de Datos 2016/679 (UE) (RGPD) se da un giro de tuerca a esta situación, debido a la instauración de dos Principios clave: el Principio de Accountability y el Principio de Enfoque al Riesgo.

  • En función del Principio de Accountability o Responsabilidad Proactiva, el Responsable del Tratamiento debe aplicar las medidas técnicas y organizativas necesarias a fin de garantizar y poder demostrar que cumple con el RGPD.

Este principio exige una actitud proactiva y diligente por parte de las organizaciones, que tienen que ser capaces de demostrar, tanto ante las autoridades como ante los interesados, que las medidas implantadas son las adecuadas para cumplir con el RGPD.

El nuevo Reglamento Europeo de Protección de Datos, para ayudar al Responsable y/o Encargado de Tratamiento en su tarea de analizar y determinar cuáles son las medidas adecuadas a implantar por su empresa, prevé la adhesión a códigos de conducta aprobados, certificaciones aprobadas, seguimiento de directrices dadas por el Comité Europeo de Protección de Datos (CEPD) o indicaciones proporcionadas por un Delegado de Protección de Datos, como mecanismo para garantizar y poder demostrar que su organización cumple con el nuevo Reglamento.

  • Por otro lado, el Principio de Enfoque al Riesgo, supone que las organizaciones antes de implantar cualquier tipo de medidas, deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

La aplicación de este principio implica que las empresas deberán analizar de manera previa al tratamiento: si existe un alto riesgo para los derechos y libertades de los ciudadanos y cómo deben modularse las medidas en función del tipo de riesgo y de las características de las organizaciones.

Para la realización del análisis de riesgos se debe tener en cuenta:
  • El número de interesados.
  • La naturaleza de los datos.
  • El número de tratamientos.
  • Variedad de tratamientos que una misma empresa efectúe.

Ambos principios, constituyen una de las novedades más importantes que incluye el RGPD en la medida en que sobre ellos pivota el conjunto de medidas técnicas y organizativas que deben adoptar las empresas para el almacenamiento, seguimiento y adecuada protección y seguridad de los datos de carácter personal.

 

reglamento europeo de protección de datos

Según el nuevo RGPD, en función del análisis de riesgos previo de las marcas y organizaciones, se deben implantar las medidas técnicas más adecuadas para garantizar la seguridad.

 

3. ¿Qué medidas se deben adoptar para cumplir con el Reglamento Europeo de Protección de Datos?

 

Como hemos señalado anteriormente, ya no existe una lista taxativa de medidas de seguridad que las organizaciones deban cumplir de manera obligatoria, sino que cada organización debe implantar las que considere adecuadas en relación al riesgo de los tratamientos que llevan a cabo.

El Reglamento Europeo de Protección de Datos establece un catalogo de medidas que las organizaciones deben aplicar para ser capaces de demostrar que cumplen con las exigencias del mismo:

3.1 Protección de Datos desde el Diseño y por Defecto

El nuevo Reglamento Europeo de Protección de Datos impone la obligación a las organizaciones de que: antes, y no sólo durante, cualquier tratamiento de datos de carácter personal adopte aquellas medidas adecuadas para garantizar la seguridad de los datos (“desde el Diseño”), que impliquen únicamente el tratamiento de datos necesarios para la creación y el desenvolvimiento normal del procedimiento, producto, servicio o aplicación (“por Defecto”).”

En definitiva, se trata de tener en cuenta las directrices en materia de protección de datos, antes de implantar los tratamientos es decir, desde el mismo momento en que se diseñan los mismos.

  • Llevanza de un registro de actividades. Recomendamos la lectura de nuestro post dedicado en exclusiva a este registro en el RGPD.
  • Implantación de medidas de seguridad en función de las características de cada organización.

Como se ha indicado anteriormente, en función del análisis de riesgos que las empresas realicen de manera previa al tratamiento, se deben implantar las medidas técnico-organizativas más adecuadas para garantizar la seguridad de los datos de carácter personal. El Reglamento Europeo de Protección de Datos incluye una lista ejemplificativa de medidas de seguridad que pueden implantar las empresas:

  • La pseudonimización y el cifrado de datos.
  • Mecanismos que permitan garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes en los sistemas y servicios de tratamiento.
  • Mecanismos que tengan la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en casos de incidente físico o técnico.
  • Procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas de seguridad.

 

3.2 Notificación de Violaciones de Seguridad en el Reglamento Europeo de Protección de Datos.

El Reglamento impone la obligación al Responsable de notificar a la autoridad de protección de datos competente toda violación de la seguridad de los datos que se produzca en su organización, sin dilación indebida y, en todo caso, dentro de las 72 horas siguientes a que el Responsable tenga constancia de ello, a menos de que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

De igual modo, se impone la obligación de notificar a los interesados dicha quiebra en la seguridad cuando pueda entrañar un riesgo para los derechos y libertades de los interesados.

Al respecto, se acepta el cifrado de los datos como un mecanismo que constata la improbabilidad de que la quiebra de seguridad suponga un riesgo para los afectados puesto que permite ocultar sus datos de carácter personal.

 

3.3 Realización de Evaluaciones de Impacto relativas a la Protección de los Datos.

Ponemos a su disposición nuestro artículo sobre Evaluaciones de Impacto.

 

3.4 Nombramiento del Delegado de Protección de Datos.

En este post Delegado de Protección de Datos encontrará información útil acerca de esta figura.

 

En resumen, con el Reglamento Europeo de Protección de Datos se persigue la anticipación a la infracción o lesión de derechos. Ya no basta con que las empresas se limiten a cumplir un artículo u otro de la normativa, sino que han de estar en condiciones de garantizar y poder demostrar en todo momento que el tratamiento de datos que realiza su empresa es conforme con el RGPD.

Por todo lo aquí expuesto, si tiene dudas en relación a las medidas de seguridad que debe implantar su organización, cuente con Grupo Adaptalia para el asesoramiento y consultoría en protección de datos correspondiente. Nos pondremos en contacto con Usted, y nuestro equipo jurídico realizará un análisis de riesgos específicos, que nos permitirá determinar si las medidas con las que cuentan son suficientes, o por el contrario, si necesita la implantación de nuevas medidas que permitan garantizar la confidencialidad y la seguridad de los datos de carácter personal.

 

Tamara Vizcaíno

Departamento Legal