A pesar de que todavía nos pueda parecer que para mayo 2018 falta “mucho” tiempo, (fecha de aplicación RGPD), debemos empezar a pensar ya en “modo” Reglamento, ya que consideramos que es algo imprescindible si queremos que la adaptación al mismo, se haga de forma gradual y efectiva.
En el artículo de hoy os hablaremos del tipo de medidas de seguridad que a tenor del RGPD se deben implementar.
En el Título VIII del actual RDLOPD 1720/2007 se determinan con detalle y de forma exhaustiva las medidas de seguridad que deben aplicarse según el tipo de datos objeto de tratamiento.
Sin embargo, en el RGPD se establece que tanto responsables como encargados de tratamiento deberán de establecer las medidas técnicas y organizativas necesarias para garantizar un nivel adecuado de seguridad. Para ello dice el RGPD (art.32.2) que se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos. Todo ello se detectará en el análisis previo que se debe realizar.
Como se detalla en la Guía del RGPD para responsables de tratamiento publicada por la AEPD hace escasos días, todos los responsables de tratamiento deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas de seguridad deben aplicar y cómo deben hacerlo. Este análisis variará en función de:
– los tipos de tratamiento;
– la naturaleza de los datos;
– el número de interesados afectados;
– la cantidad y variedad de tratamientos que una misma organización lleve a cabo.
Analizado el riesgo, deberemos establecer las medidas técnicas y organizativas necesarias, teniendo en cuenta (art.32.1 RGPD):
– el coste de la técnica;
– los costes de aplicación;
– la naturaleza, el alcance, el contexto y los fines del tratamiento;
– los riesgos para los derechos y libertades.
Algunas de estas medidas, dice el RGPD, pueden ser, entre otras:
– la seudonimización y el cifrado de datos personales;
– la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
– la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
– un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En principio y así lo manifiesta la AEPD en su Guía, el esquema de medidas de seguridad previsto actualmente en el RDLOPD 1720/2007 no seguirá siendo válido de forma automática a partir de mayo de 2018, sin embargo añade que en algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado.
A modo de conclusión podemos decir que aquellas organizaciones que, en la actualidad, ya vienen aplicando e implementando las medidas de seguridad que establece el Reglamento, tienen buena parte del trabajo hecho.