¿Qué medidas RGPD debe aplicar una empresa? - capítulo 4

by No comment(s) , ,
¿Qué medidas RGPD debe aplicar una empresa? - capítulo 4

Medidas RGPD, actualmente una empresa debe tener en cuenta una serie de factores y medidas para poder demostrar de cara a una auditoría todo lo necesario.

 

La RGPD implica una gestión continua de los riesgos potenciales asociados al tratamiento desde su diseño. Estas medidas se aplican teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas (art. 32):

  • Cifrado de los datos.
  • Seudonimización de los datos.
  • Medidas capaces de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento (uso de sistemas y aplicaciones actualizados, el establecimiento de contraseñas u otros medios de control de acceso a la información, uso de antivirus y cortafuegos actualizados, promover el uso seguro y responsable de Internet, explicando sus riesgos a los que estamos expuestos y proporcionar pautas necesarias para sacar partido a los servicios sin comprometer nuestra seguridad y privacidad, etc.).
  • Medidas capaces para restaurar la disponibilidad y el acceso a los datos personales (copias de seguridad y recuperación, diligencia en la elección de proveedor cloud…).
  • Un proceso de verificación, evaluación y valoración regular de la eficacia de las medidas implementadas (gestión continúa, auditorías, EIPD).

 

Las medidas de seguridad establecidas en el Reglamento de la LOPD y a falta de especificaciones por el RGPD, son medidas mínimas de seguridad a tener en cuenta, deben ser complementadas con otras que mejoren la seguridad de los datos.

No obstante, (el artículo 77) «Se podrían proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos. El Comité también puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas físicas, e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión».

 

Además, (el artículo 98) se indica que “Se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables o encargados a que elaboren códigos de conducta, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Dichos códigos de conducta podrían en particular establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable para los derechos y libertades de las personas físicas que se derive del tratamiento”.

 

Una vez determinado el riesgo, el RGPD considera operaciones que entrañan un riesgo y un alto riesgo para los derechos y libertades de las personas físicas. Cuando entrañan un riesgo han de adoptarse las siguientes medidas:

  • Notificar violaciones de la seguridad de los datos personales a la autoridad de control competente a menos que pueda demostrar la improbabilidad de riesgo para los derechos y libertades de las personas físicas, de ser posible, sin dilación indebida y a más tardar 72 horas después de que el responsable tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales.

 

 

Cuando las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, han de seguir estas pautas:

  • Realizar una evaluación de Impacto relativa a la protección de datos, para evaluar en particular el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
  • El responsable del tratamiento debe comunicar al interesado sin dilación indebida la violación de la seguridad de los datos personales, y permitirle tomar las precauciones necesarias.
  • Consultar a la autoridad de control antes de iniciar las actividades de tratamiento si una evaluación de impacto relativa a la protección de datos muestra que, en ausencia de garantías, medidas de seguridad y mecanismos destinados a mitigar los riesgos, el tratamiento entrañaría un alto riesgo para los derechos y libertades de las personas físicas, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación .

El riesgo se deriva de la exposición de amenazas por ello ha de entenderse qué es una amenaza y como se pueden identificar escenarios de riesgo para los datos personales a partir de la misma, tal y como indica la AEPD en su publicación Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD.

Posibles amenazas:

 

A tener en cuenta a la hora de determinar los riesgos que son riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, los daños y perjuicios físicos, materiales o inmateriales. El RGPD indica que se pueden ocasionar en particular en los siguientes casos (artículo 75 del RGPD):

  • El tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo
  • Privar a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales;
  • Los datos personales tratados revelen el origen étnico o racial, las opiniones políticas, la religión o creencias filosóficas, la militancia en sindicatos y el tratamiento de datos genéticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas;
  • Casos en los que se evalúen aspectos personales, en particular el análisis o la predicción de aspectos referidos al rendimiento en el trabajo, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situación o movimientos, con el fin de crear o utilizar perfiles personales
  • Casos en los que se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados.

 

En cuanto a cómo demostrar las medidas en caso de auditoría, entendemos que a falta de especificaciones en el RGPD, es válido el documento de seguridad actual publicado por AEPD, aplicado al tratamiento de los datos.

 

Amplia información en Terabyte.

 

About the