Análisis de riesgos y adopción de medidas de seguridad

Las medidas de seguridad son claves a la hora de garantizar el derecho fundamental a la protección de datos ya que no es posible asegurar el derecho fundamental a la protección de datos si no es posible garantizar la confidencialidad, la integridad y la disponibilidad de los  datos personales. Para garantizar estos tres factores de la seguridad son necesarias medidas tanto de índole técnica como de índole organizativo.

El artículo 32 del RGPD establece que las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo se definen en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas. No se establecen medidas de seguridad estáticas, de forma que corresponderá al responsable determinar aquellas medidas de seguridad que son necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales.

En definitiva el primer paso para determinar las medidas de seguridad será la evaluación del riesgo, una vez evaluado el riesgo será necesario determinar las medidas de seguridad encaminadas para reducir o eliminar los riesgos para el tratamiento de los datos.

En relación con las medidas de seguridad en el ámbito del sector público, en la Disposición adicional primera de la Ley Orgánica 3/2018, se señala que los responsables enumerados en el artículo 77.1 de la citada ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

Análisis de riesgos

Uno de los requerimientos que establece el Reglamento General de Protección de Datos (RGPD) para responsables y encargados del tratamiento que realizan o desean realizar actividades de tratamiento con datos personales es la necesidad de llevar a cabo un análisis de riesgos de la seguridad de la información con el fin de establecer las medidas de seguridad y control orientadas a cumplir los principios de protección desde el diseño y por defecto que garanticen los derechos y libertades de las personas.

Ante la constante evolución tecnológica y los procesos de transformación digital que sufren las actividades de tratamiento de los datos personales, es crucial abordar dichos procesos desde un modelo enfocado en la gestión continua del riesgo, definiendo desde el diseño las medidas de control y seguridad necesarias para que el tratamiento nazca respetando los requerimientos de privacidad asociados al nivel de riesgo al que está expuesto y evaluando de forma periódica la efectividad de las medidas de control implantadas.

 

Fuente: Sede Electrónica Agencia Española de Protección de Datos (https://www.aepd.es/reglamento)


Reglamento

 

·        Artículo 32 RGPD (“Seguridad del tratamiento”)

 

o   Considerando 83

Disposición adicional primera LOPD (“Medidas de seguridad en el ámbito del sector público)