Q ué medidas de seguridad exigibles en el Nuevo RGPD deben incorporarse?
El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento General de Protección de Datos y estar en condiciones de demostrarlo.
Estas medidas de responsabilidad proactiva son las siguientes:
- Análisis de riesgo
- Registro de actividades de tratamiento
- Protección de Datos desde el diseño
- Medidas de seguridad
- Notificación de “violaciones de seguridad de los datos”
- Evaluación de impacto sobre la Protección de Datos
- Delegado de Protección de Datos.
Las Medidas de seguridad exigibles en el RGPD son la consecuencia del principio expuesto en el art. 5 de Responsabilidad Proactiva; y que por supuesto debe ser demostrable, tanto en la determinación del riesgo para los derechos y libertades de los afectados como en la vigilancia y adopción de medidas para evitarlos.
Con el reglamento de desarrollo de la LOPD (RD1720/2007) se establecían medidas de seguridad específicas a aplicar según el nivel de datos tratados.
El RGPD no detalla de forma exhaustiva las medidas y establece que los responsables y encargados establecerán las medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en un análisis previo; además, deberán estar en condiciones de demostrar la aplicación de dichas medidas (responsabilidad activa)
El RGPD determina estas nuevas medidas exigibles como garantía de que los datos son tratados de acuerdo a los principios y requiere acreditar que lo estamos haciendo.
1. Análisis de Riesgo
En este sentido se establecen:
- Medidas obligatorias a aplicar de forma ponderada en función del nivel y tipo de riesgo
- Protección de datos desde el diseño
- Medidas de seguridad
- Medidas a adoptar solo si el tratamiento supone un alto riesgo para los derechos y libertados como por ejemplo la realización de una Evaluación de impacto sobre la Protección de Datos.
“OBLIGACIÓN”
Realizar una evaluación o valoración del riesgo de los tratamientos de datos que realizamos.
Mientras las grandes empresas deberán adoptar un método reconocido para realizar esta tarea, las pequeñas empresas que realicen tratamientos de poca complejidad podrán simplemente documentar la evaluación de riesgos con su propia metodología.
EL análisis de riesgos derivara en medidas de seguridad especiales en base al nivel de riesgo y del impacto que los mismos pueden causar en los derechos y libertades de los interesados
¿Cuándo estamos obligados a adoptar dichas medidas de seguridad por el RGPD?
1. Cuando se tratan datos sensibles
2. Cuando los datos afectan a una gran cantidad de personas
3. Cuando se elaboran perfiles
4. Cuando se cruzan los datos obtenidos con otras fuentes
5. Cuando la finalidad con la que se han obtenido puede cambiarse
6. Cuando se tratan gran cantidad de datos (Análisis masivo)
7. Cuando se utilizan tecnologías especialmente invasivas (Video vigilancia, geolocalización, Internet de las cosas etc.)
2. Registro de actividades de tratamiento
- Datos de contacto del responsable y del delegado de protección de datos
- Finalidad del tratamiento
- Tipos de interesados y de datos personales tratados
- Datos sobre transferencias internacionales de datos
Exenciones: de esta obligación están exentas las pequeñas empresas (menos de 250 trabajadores) que no realicen tratamientos que entrañen riesgos para los derechos y libertades de los interesados ni manejen datos especialmente sensibles o relativos a condenas o infracciones penales
Como punto de partida para los registros de tratamientos podemos utilizar
- Los ficheros notificados a la AGPD añadiendo el detalle de las operaciones sobre cada conjunto de datos.
- Agrupando las actividades de acuerdo a su finalidad (Nominas, gestión de clientes etc.)
3. Protección de Datos desde el Diseño
Debemos garantizar:
- que se aplican los requisitos del RGPD desde el diseño de cualquier producto o servicio que requiera un nuevo tratamiento o finalidad
- Se deben aplicar además criterios sobre el diseño de nuevos tratamientos que eviten el tratamiento de datos innecesarios en cuanto a:
- Cantidad y tipos de datos
- Extensión del tratamiento
- Periodos de conservación y accesibilidad a los datos
4. Medidas de seguridad exigibles: NOVEDAD RGPD
VALIDEZ
Aplicar medidas de seguridad según el esquema actual de la LOPD dejara AUTOMATICAMENTE de ser válido desde la entrada en vigor del RGPD (Mayo 2018).
DESDE MAYO 2918 las medidas de seguridad deberán ser la consecuencia de un análisis de riesgos previo que determine las medidas de seguridad adecuadas: El resultado del análisis de riesgos podrá recomendar las mismas medidas que antes, recomendar nuevas medidas o suprimir algunas innecesarias.
CRITERIOS
Los criterios para la selección y aplicación de medidas deberían tener en cuenta:
- Los costes técnicos y de aplicabilidad
- El tipo de tratamiento de datos, su finalidad y alcance
- Los riesgos para los derechos y libertades
5. Notificación de violaciones de seguridad de los datos
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
Esta notificación debe
- Realizarse sin retraso antes de 72 horas desde que se tenga constancia
- Se debe mantener información documentada
- Debe contener una información mínima:
- Índole y materia de la violación
- Tipos de datos y de interesados afectados
- Medidas adoptadas para solucionarla
- Medidas paliativas de los perjuicios causados si procede
- Se deberá informar también a los interesados si la violación es de alto riesgo para sus derechos y libertades para que puedan tomar medidas para protegerse de sus consecuencias
Además de la existencia de formularios estandarizados a nivel europeo podemos utilizar la sede electrónica de la AGPD para realizare las notificaciones en el siguiente enlace:
6. Evaluación de Impacto sobre la Protección de Datos
Ya hemos ido anunciando que es obligatorio realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD):
- 1. Cuando se prevea que hay riesgo para para los derechos y libertades de los interesados.
- 2. El EIPD tendrá un contenido mínimo establecido.
IMPORTANTE - 3. El EIPD se realizara incluso sobre tratamiento iniciados antes de la fecha de aplicación del RGPD cuando representen un alto riesgo para los derechos o libertades de los interesados,
- 4. CONSULTA OBLIGATORIA: si el resultado del EIPD sobre un tratamiento de datos resulta de alto nivel de riesgo y no es posible su mitigación o eliminación por el motivo que sea debe ser elevada unan consulta sobre este asunto a la AGPD
Si la actividad de su organización pertenece a alguno de estos sectores, tales como: Sanidad, Solvencia patrimonial y crédito. Generación y uso de perfiles, Actividades Políticas, Sindicales o Religiosas. Servicios de Telecomunicaciones, Seguros, Entidades bancarias y financieras. Actividades de servicios sociales, Publicidad. Videovigilancia masiva (Videovigilancia de grandes infraestructura como estaciones de ferrocarril o centros comerciales) Altaos puede ayudarle.