Estas medidas se encuentran recogidas en el RGPD y que serán de obligada aplicación para los responsables y algunos encargados para demostrar su cumplimiento de la normativa y que estén en situación de justificarlo.
MEDIDAS DE SEGURIDAD
Los responsables y encargados dispondrán de establecer las medidas técnicas y organizativas que permitan garantizar un nivel de seguridad adecuado en función a los riesgos detectados en el análisis previo (Análisis de riesgo).
Las medidas técnicas y organizativas deberán determinarse atendiendo a:
- Coste de la técnica.
- Coste de la aplicación.
- La naturaleza, el alcance, el contexto y los fines del tratamiento.
- Los riesgos para los derechos y libertades.
Las medidas de seguridad establecidas en el Reglamento de desarrollo de la LOPD no serán válidas por defecto tras la aplicación del RGPD.
Siempre que los resultados del análisis de riesgo previo indique que es adecuado se podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD. En ocasiones se podrán complementar con medidas añadidas o, en un caso dejar de utilizar algunas medidas.
ANÁLISIS DE RIESGO
El adoptar las medidas de responsabilidad activa que nos propone el RGPD, tendrá que ver con lo que pueda suponer los tratamientos de datos de la entidad con los riesgos para los derechos y libertades de los interesados.
Existen dos formas de gestionar el riesgo:
- Cuando en ciertas ocasiones se estime que las medidas de seguridad tan solo se aplicaran cuando el tratamiento suponga un alto riesgo para los derechos y libertades de los afectados. Esto se valorará realizando evaluaciones de impacto sobre protección de datos.
- En otras ocasiones habrá que adaptar las medidas en función al nivel y tipo de riesgo que lleve aparejado el tratamiento, como puede ser la aplicación de las medidas de protección de datos desde diseño o con las medidas de seguridad.
● OBLIGACIÓN
La totalidad de responsables deberán realizar una valoración del riesgo de los tratamientos que hagan para poder evaluar las medidas que deben adoptar y cómo aplicarlas de forma óptima.
El tipo de análisis irá en función de:
- Los tipos de tratamientos
- La naturaleza de los datos
- El número de interesados afectados
- Cantidad y variedad de tratamientos realizados por una misma entidad.
Las grandes organizaciones tendrán que utilizar alguna de las metodologías existentes de análisis de riesgos. Las organizaciones más pequeñas y que dispongan tratamientos poco complejos tendrán que realizar un análisis orientado como una reflexión, mínimamente documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. La reflexión dará respuesta a unas cuestiones detalladas más abajo, y a mayor número de respuestas afirmativas mayor es el riesgo que derivará del tratamiento. Si por el contrario hay un mayor número de repuestas negativas se puede entender que la entidad no realiza tratamientos que produzcan un elevado nivel de riesgo y no será necesario adoptar las medidas previstas en estos casos en el RGPD.
- ¿Se realizan tratamientos de datos sensibles?
- ¿Se tratan datos de gran cantidad de personas?
- ¿Se utiliza el tratamiento para la elaboración de perfiles?
- ¿Se cruzan los datos de los interesados con otros disponibles en otras fuentes?
- ¿Se evalúa utilizar los datos obtenidos para una finalidad, para otro tipo de finalidades?
- ¿Se tratan grandes cantidades de datos, incluyendo técnicas de análisis masivo del tipo Big Data?
- ¿Se van a utilizar tecnologías altamente invasivas para la privacidad, como la geolocalización, videovigilancia a gran escala o ciertas aplicaciones del internet de las cosas?
REGISTRO DE ACTIVIDADES DE TRATAMIENTO
● OBLIGACIÓN
Los responsables y encargados deben cumplir con nuevas obligaciones de documentación como es mantener un registro de operaciones de tratamiento. Dicho registro debe contener la información establecida en el art. 30 del RGPD y debe contener datos como:
- Nombre y datos de contacto del Responsable o corresponsable, y del Delegado de Protección de Datos, si lo hay.
- Finalidad del tratamiento.
- Descripción de categorías de interesados y categorías de datos tratados.
- Transferencias internacionales de datos.
- Cuando sea posible, plazos previstos para la supresión de los datos.
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Se encuentran exentas de esta obligación las organizaciones que empleen a menos de 250 trabajadores:
- a no ser que el tratamiento realizado entrañe un riesgo para los derechos y las libertades de los interesados,
- no sea el tratamiento ocasional,
- o incluya categorías especiales de datos o datos relativos a condenas o infracciones penales.
● RECOMENDACIÓN
La mejor forma de cumplir con esta obligación es partiendo de la base de los ficheros que los responsables actualmente tienen notificados en el Registro General de Protección de Datos, especificando la totalidad de operaciones que se realizan sobre cada conjunto estructurado de datos.
También se puede organizar el registro alrededor de operaciones de tratamiento concretas vinculadas a una finalidad genérica común, como puede ser la gestión de clientes, gestión contable o gestión de los recursos humanos o cualquier otro criterio diferente.
PROTECCIÓN DE DATOS DESDE DISEÑO Y POR DEFECTO
El Responsable tendrá que aplicar las medidas con anterioridad al inicio de los tratamientos y también mientras se estén desarrollando.
Este enfoque es el que promueve el RGPD, de responsabilidad proactiva. Se tiene que pensar en el tratamiento de datos personales desde diseño del tratamiento, producto o servicio.
● OBLIGACIONES
Desde el primer momento tendrán los responsables que adoptar las medidas técnicas y organizativas para añadir en los tratamientos garantías que permitan cumplir con lo establecido en el RGPD.
La adquisición por parte de los responsables de medidas que permitan garantizar que sólo se van a tratar los datos necesarios relativos a la cantidad de datos tratados, la extensión del tratamiento, los tiempos de conservación de los datos y la accesibilidad a los mismos.
NOTIFICACIÓN DE BRECHAS DE SEGURIDAD DE LOS DATOS
El RGPD define las brechas o violaciones de seguridad (quiebras de seguridad), como todo incidente que ocasione la “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos.
Algunos ejemplos pueden ser la pérdida de una tableta o Smart Phone, el acceso no autorizado a las bases de datos de la empresa por personal interno o ajeno a la entidad o el borrado de registros constituyen este tipo de “brechas de seguridad” y deben afrontarse como dicta el RGPD.
● OBLIGACIONES
En el momento que se produzca la brecha de seguridad de los datos, el responsable debe notificarla a la autoridad de control a no ser que no suponga un riesgo para los derechos y libertados de los afectados.
Esta notificación a la autoridad de control debe realizarse sin dilación indebida, es decir la tardanza sin excusa, y a ser posible en las siguientes 72 horas desde que el responsable ha tenido constancia de la misma.
La notificación debe incluir como mínimo:
- La naturaleza de la brecha de seguridad
- Categorías de datos y de interesados afectados
- Las medidas que adoptará el responsable para solventar la quiebra
- Si procede, los responsable recomendarán las medidas orientadas a disminuir los posibles efectos negativos sobre interesados
Los responsables deben documentar TODAS las quiebras de seguridad. Si la quiebra de seguridad supone un alto riesgo para los derechos y libertades de los interesados, el responsable aparte de realizar la comunicación a la autoridad de control deberá notificar a los interesados la quiebra de seguridad.
El objetivo de esta notificación es para que los afectados puedan tomar medidas para protegerse de sus consecuencias. El RGPD obliga a que se realice sin dilación indebida, sin hacer referencia ni al momento que se tenga constancia de ella, ni tampoco a efectuar la notificación dentro del plazo de 72 horas, todo esto para la rápida actuación del afectado y tome medidas las oportunas.
● A TENER EN CUENTA
La valoración del riesgo de la quiebra de seguridad es diferente del análisis de riesgos previo a todo tratamiento. Trata de aclarar hasta qué punto el incidente, por sus características, tipo de datos o el tipo de consecuencias que tendrá para los afectados puede causar daño a sus derechos y libertades.
Los daños producidos pueden ser materiales o inmateriales pudiendo ir desde la consecuencia producida al afectado por una usurpación de identidad, pasando por perjuicios económicos o vulneración de su derecho al honor por exponer sus datos confidenciales.
La confirmación de que se ha producido una brecha de seguridad se da cuando se tiene la certeza de que ha ocurrido y se tiene conocimiento de su naturaleza y alcance.
La sola contratación a sospecha de que se ha producido la brecha sin conocer las circunstancias no debería dar lugar a la notificación, de momento, ya que no sería posible evaluar el riesgo que pudiera existir para los derechos y las libertades de los interesados.
En las ocasiones de que la quiebra pudiera tener gran impacto por sus características, es recomendable poner en conocimiento de la autoridad de control el hecho en el momento de tener evidencias. Más tarde se puede completar la comunicación por una notificación formal más completa dentro de los plazos establecidos.
Si se da el caso de que no es posible realizar la notificación dentro de las 72 horas, por la dificultad en valorar el alcance, se podrá notificar con posterioridad explicando los motivos del retraso.
También se podrá informar de forma escalonada si no es posible hacerlo en el momento de la notificación.
El denominado “criterio de alto riesgo” comprende a aquel en que la brecha de seguridad ocasiones daños de entidad a los interesados, como por ejemplo la revelación de información confidencial, difusión masiva de datos sensibles o que se produzcan perjuicios económicos a los interesados.
La notificación a los interesados no será necesaria cuando:
- El responsable aplique medidas técnicas y organizativas con anterioridad a la brecha de seguridad, concretamente las medidas que hagan ininteligibles los datos a terceros como el cifrado.
- Si el responsable ha tomado, con posterioridad a la brecha, medidas técnicas que garanticen la imposibilidad de que el alto riesgo se materialice.
- Si la notificación supone un esfuerzo desproporcionado, se tomaran medidas alternativas como puede ser una comunicación pública.
EVALUACIONES DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS
● LA OBLIGACIÓN
La diferencia con la actual LOPD es que el RGPD no establece un listado de medidas de seguridad que tengan que aplicarse en función del tipo de datos a tratar, sino que establece que los Responsable y encargados aplicaran las medidas técnicas y organizativas adecuadas al riesgo que comporte el tratamiento. Esto va a suponer realizar una Evaluación de los riesgos relacionados a cada tratamiento y establecer las medidas de seguridad a implementar.
Los responsables del tratamiento estarán obligados a realizar una Evaluación de Impacto sobre Protección de Datos (EIPD), con carácter previo a la puesta en marcha de los tratamientos que tengan un posible alto riesgo para los derechos y libertades de los interesados.
Cuando el análisis de riesgo se realice sobre tratamientos comenzados con anterioridad a la entrada en vigor del RGPD, los responsables deberán realizar una EIPD sobre los mismos para poder adoptar los medios adecuados a lo establecido en el RGPD.
Si al realizar una EIPD se identifica un tratamiento de alto riesgo y según el responsable no se puede reducir por medios razonables en términos de tecnología disponible y costes de aplicación, el responsable consultará con la autoridad de control. Adjuntará la documentación que prevé el RGPD, incluyendo la EIPD. La autoridad de control emitirá recomendaciones o ejercerá los poderes que le confiere el RGPD, como el de prohibir el tratamiento.
● IMPORTANTE
La siguiente lista indica, actualmente, lo se considera un tratamiento con alto riesgo:
- La elaboración de perfiles sobre cuya base se toman decisiones que produzcan efectos jurídicos sobre los interesados o les afecten de modo similar.
- Tratamiento a gran escala de datos sensibles (definición)
- Observación sistemática a gran escala de una zona de acceso público.
Para evaluar si un tratamiento se realiza a gran escala debemos valorar:
- Número de interesados afectados
- El volumen de datos y la variedad de la actividad de los datos tratados
- La duración o permanencia de la actividad del tratamiento
- La extensión geográfica de la actividad de tratamiento
Las autoridades de protección de datos están obligadas a confeccionar listados adicionales que requieran una EIPD. También elaboraran listas de tratamientos en los que no requiera una EIPD.
La elaboración de estos listados no excluyentes que los responsables realicen una análisis de riesgo y si el tratamiento puede suponer un alto riesgo para los derechos y libertades de los usuario, realizará el Responsable una EIPD, aunque el tratamiento no esté incluido en el listado.
Se podrá realizar una única EIPD para varios tratamientos similares que supongan altos riesgos similares.
Podría ser necesario realizar una nueva EIPD si cambian las condiciones del tratamiento o cuando cambien los riesgos asociadas al mismo.
DELEGADO DE PROTECCIÓN DE DATOS
● LA OBLIGACIÓN
El RGPD establece la figura del Delegado de Protección de Datos (DPD) y va a ser obligatorio en:
- Entidades públicas, excepto juzgados y tribunales.
- Cuando el tratamiento tenga por objeto categorías especiales de datos personales o relativos a condenas o infracciones penales.
- Responsable y encargados que tengan como actividad principal las operaciones de tratamiento que requieran una observación periódica y sistemática de usuarios realizada a gran escala.
- Responsables o encargados que tengan como actividad principal el tratamiento de datos sensibles a gran escala.
El anteproyecto de la LOPD contempla en su Capítulo III art.35, consideran incluidas en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 en todo caso, las siguientes entidades:
“a) Los colegios profesionales y sus consejos generales, regulados por la Ley 2/1974, de 13 febrero, sobre colegios profesionales.
b) Los centros docentes que ofrezcan enseñanzas reguladas por la Ley Orgánica 2/2006, de 3 de mayo, de Educación, y las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en la Ley 9/2014, de 9 de mayo, General de telecomunicaciones.
d) Los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito regulados por Título II de la Ley 5/2015, de 27 de abril, de fomento de la financiación empresarial.
g) Las entidades aseguradoras y reaseguradoras sometidas a la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por el Título V del texto refundido de la Ley del Mercado de Valores, aprobado por Real Decreto Legislativo 4/2015, de 23 de octubre.
i) Los distribuidores y comercializadores de energía eléctrica, conforme a lo dispuesto en la Ley 24/2013, de 26 de diciembre, del sector eléctrico, y los distribuidores y comercializadores de gas natural, conforme a la Ley 34/1998, de 7 de octubre, del sector de hidrocarburos.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por el artículo 32 de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales acerca de personas y empresas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a lo dispuesto en la Ley 3/2011, de 27 de mayo, de regulación del juego.
ñ) Quienes desempeñen las actividades reguladas por el Título II de la Ley 5/2014, de 4 de abril, de Seguridad Privada.”
El DPD debe tener conocimiento de la legislación y la práctica de protección de datos, debiendo asesorar al responsable o al encargado en lo relativo a la normativa de protección de datos. Debe contar con conocimientos legales de la normativa, en materia de tecnología aplicada al tratamiento de datos y en el ámbito de la actividad de la organización en la que el DPD realiza su labor.
El nombramiento del DPD y los datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión.
El cargo del DPD en las organizaciones tienen que contar con:
- Total autonomía e independencia en el ejercicio de sus funciones
- Canal directo de comunicación con el nivel máximo de dirección
- La obligación por parte de responsables y encargados de dotar de recursos al DPD para que pueda realizar su actividad
● IMPORTANTE
Se permite nombrar a un solo DPD para un grupo empresarial, y debe estar accesible a todos los establecimientos del grupo, accesibilidad física para el propio personal y que el interesado pueda contactar con el DPD en su propia lengua, aun cuando el DPD esté ubicado en otro estado miembro.
Se permite que el DPD mantenga una relación laboral o mediante contrato de servicios con los responsables y encargados. Es decir que permite contratar el servicio de DPD con personas físicas o jurídicas ajenas a la organización.
Podrá desarrollar sus funciones a tiempo parcial o completo, evitando que existan conflictos de intereses.
L as funciones del DPD vienen establecidas por el Art. 39 del RGPD, que como mínimo serán:
- Informar y asesorar al responsable y al encargado de las obligaciones que les incumben.
- Supervisar lo dispuesto en el RGPD.
- Ofrecer asesoramiento acerca de la evaluación de impacto de protección de datos.
- Cooperación con la autoridad de control.
- Actuar como punto de contacto de la autoridad de control sobre cuestiones que afecten al tratamiento.