El Reglamento General de Protección de Datos (RGPD), de obligatoria aplicación desde el 25 mayo de este año, establece que los responsables y encargados de tratar los datos personales en las empresas implanten las medidas técnicas y organizativas adecuadas para garantizar que el nivel y los tratamientos realizados de seguridad son los apropiados, siempre en función de los riesgos detectados en el análisis previo. Por lo tanto, antes de implantar las medidas necesarias se realizará una evaluación donde se analizarán los niveles de riesgos existentes en cada tratamiento de datos.
Aemol Consulting, consultora experta Protección de Datos de Carácter Personal, nos informa que el RGPD en su artículo 32 referido a la seguridad del tratamiento, establece que las medidas técnicas y organizativas tendrán en cuenta »el estado de la técnica, los costes de aplicación; la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas». El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas »para garantizar un nivel de seguridad adecuado al riesgo que en su caso incluya entre otros: la seudonimización y el cifrado de datos personales; la capacidad permanente de garantizar la confidencialidad, integridad, disponibilidad y resiliencia o adaptación al cambio de los sistemas de información y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico y por último la verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».
Al evaluar los riesgos potenciales en sí, se tendrán especialmente en cuenta los derivados del tratamiento y susceptibles de ocasionar daño y perjuicios físicos, materiales o inmateriales como: la destrucción, pérdida o alteración accidental o ilícita de datos personales durante la transmisión, conservación o tratamiento y por último la comunicación o accesos no autorizados a los datos. En cuanto a las medidas de seguridad, ni existe un listado concreto para implantar en función del riesgo o nivel de seguridad o protección, ni tampoco prevé la existencia de un desarrollo o especificación de estas por parte de las Autoridades de Control, Estados Miembros o el propio Comité o Grupo de Trabajo 29.
El responsable y el encargado del tratamiento tomarán las medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales los trate siguiendo sus instrucciones y protocolos. Asimismo, nos señalan en Aemol Consulting que la adhesión a códigos de conducta o mecanismos de certificación por parte de los responsables o encargados de tratamiento en materia de seguridad técnica y organizativa servirá como elemento a tener en cuenta a la hora de demostrar el cumplimiento de las medidas de seguridad del RGPD.
Los comentarios están cerrados.