La protección de datos desde el diseño y por defecto viene establecida en el art. 25 y en el considerando 78 del RGPD.
Artículo 25: Protección de datos desde el diseño y por defecto
- Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.
- El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas
- Podrá utilizarse un mecanismo de certificación aprobado con arreglo al artículo 42 (Certificación) como elemento que acredite el cumplimiento de las obligaciones establecidas en los apartados 1 y 2 del presente artículo.
El objetivo de la protección de datos desde el diseño es incluir los principios de protección de datos dentro de las organizaciones de manera tal que los mismos estén presentes a lo largo de toda la vida del tratamiento, es decir, desde el momento en que se diseña, se pone en práctica y finalmente se suprime o finaliza el tratamiento. El RGPD establece que deberán aplicarse de forma eficaz medidas técnicas y organizativas adecuadas (como por ejemplo la seudonimización y minimización de datos) para aplicar los principios de protección de datos de forma eficaz y proteger los derechos y libertades de los interesados. De esta forma, la protección de datos desde el diseño supone la integración en las organizaciones o empresas de las garantías adecuadas para la protección de los datos desde el momento en que se determinan los medios del tratamiento, así como en el momento en que se realiza el propio tratamiento, debiendo tener en cuenta:
En relación con la protección de datos por defecto, el RGPD señala que deberán aplicarse medidas técnicas y organizativas apropiadas con el objetivo de que sólo sean objeto de tratamiento los datos personales realmente necesarios para cada uno de los fines específicos del tratamiento (principio de minimización). Dicha obligación abarcaría:
Como ejemplo de protección de datos por defecto el RGPD pone el ejemplo particular de evitar la accesibilidad a un número indeterminado de personas sin que exista intervención del propio interesado.
Las medidas de seguridad técnicas y organizativas vienen recogidas en el art. 32 y en el considerando 83 del RGPD.
Artículo 32: Seguridad del tratamiento
- Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos
- La adhesión a un código de conducta aprobado a tenor del artículo 40 (Códigos de conducta) o a un mecanismo de certificación aprobado a tenor del artículo 42 (Certificación) podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
- El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Las medidas de seguridad técnicas y organizativas se deberán implantar en función del nivel adecuado al riesgo de los distintos tratamientos. En consecuencia, será fundamental identificar los niveles de riesgo existentes en cada tratamiento de datos para poder determinar las medidas de seguridad técnicas que deberán ser implantadas por el responsable o encargado de tratamiento. De igual forma a la privacidad por defecto y desde el diseño, se deberá tener en cuenta en la implantación de dichas medidas de seguridad:
A diferencia de nuestra actual normativa de protección de datos, el RGPD no establece un listado estructurado de medidas de seguridad que deberán ser implantadas en función del riesgo o nivel de seguridad o protección. Igualmente, tampoco prevé que exista un desarrollo o especificación de las mismas por parte de las Autoridades de Control, Estados Miembros o el propio Comité o Grupo de Trabajo 29. Será, por tanto, un estudio y análisis específico basado en el enfoque al riesgo que deberán realizar los responsables y encargados del tratamiento a fin de mantener la seguridad en el tratamiento de datos. Para dicha evaluación de riesgo, el considerando 83 señala que se deberán tener en cuenta los riesgos derivados del tratamiento que sean susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales como son:
Si bien no establece un listado de medidas de seguridad que deben de ser aplicables a los tratamientos de datos, sí se establece que en todo caso entre otras medidas se deberá garantizar:
Podemos observar que las medidas de seguridad y niveles de protección de datos introducidas por la normativa española de protección de datos a través del RLOPD, dejan de ser obligatorias a partir de mayo de 2018 y, en consecuencia, normas vinculantes para los responsables y encargados de tratamiento. De esta manera, a partir de mayo de 2018 los responsables y encargados de tratamiento deberán realizar su propio análisis de riesgo y evaluar qué medidas de seguridad técnicas y organizativas consideran que deben de ser aplicables para garantizar la seguridad y confidencialidad en el tratamiento de datos personales. Las conclusiones alcanzadas sobre qué medidas deben de ser aplicables podrán o no coincidir total o parcialmente con las medidas de seguridad que establecía el RLOPD. Por lo tanto, se pasa de un modelo rígido de obligaciones a un modelo variable o dinámico cuya aplicación o implantación dependerá del caso concreto y del análisis de riesgo que cada responsable o encargado realice en función de los tratamientos de datos que deba realizar. De igual forma, la supervisión de dichas medidas para verificar, evaluar y valorar su eficacia en cuanto a la seguridad de los tratamientos, no dependerá del cumplimiento de un listado exhaustivo de medidas de seguridad, si no que se centrará en cuál ha sido el análisis de riesgo que realizado por el responsable o encargado de tratamiento para garantizar la seguridad del tratamiento de datos.
Finalmente, en materia de seguridad técnica y organizativa, señala el RGPD que la adhesión a códigos de conducta o mecanismos de certificación por parte de los responsables o encargados de tratamiento servirá como elemento a tener en cuenta a la hora de demostrar el cumplimiento de las medidas de seguridad del RGPD. Un ejemplo de dichos Códigos de conducta se puede encontrar en el reciente código de conducta de los proveedores de Infraestructuras de Servicios en Cloud (Código de Conducta en Protección de Datos de CISPE.cloud)
Las notificaciones sobre violaciones de seguridad o quiebras vienen recogidas en los arts. 33 y 34 y considerandos 85 a 88 del RGPD.
Artículo 33: Notificación de una violación de la seguridad de los datos personales a la autoridad de control
- En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 (Competencias de la Autoridad de Control)sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
- El encargado del tratamiento notificará sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
- La notificación contemplada en el apartado 1 deberá, como mínimo:
- describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
- comunicar el nombre y los datos de contacto del Delegado de Protección de Datos o de otro punto de contacto en el que pueda obtenerse más información;
- describir las posibles consecuencias de la violación de la seguridad de los datos personales;
- describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
- El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo dispuesto en el presente artículo.
Artículo 34: Comunicación de una violación de la seguridad de los datos personales al interesado
- Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.
- La comunicación al interesado contemplada en el apartado 1 del presente artículo describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la información y las recomendaciones establecidas en el artículo 33, (Notificación de violación de seguridad)apartado 3, letras b), c) y d).
- La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes:
- el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
- el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1;
- suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
- Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá decidir que se cumple alguna de las condiciones mencionadas en el apartado 3.
La notificación de las violaciones o brechas de seguridad fue introducida por el art.4.2 de la Directiva sobre privacidad y comunicaciones electrónicas (2002/58/CE) y transpuesta al derecho español por la Ley General de Telecomunicaciones (Ley 9/2014 de 9 de Mayo) a través de su art. 41.2 y 3 y en los art. 2 y 3 del Reglamento UE (611/2013). Si bien dichas notificaciones o violaciones de seguridad sólo afectaban a los operadores de servicios de comunicaciones electrónicas, a partir del 18 de mayo de 2018 las notificaciones sobre violaciones o brechas de seguridad deberán ser notificadas por los responsables de tratamiento a las Autoridades de Control y, en su caso, a los interesados si las mismas suponen un alto riesgo para los derechos y libertades de las personas físicas.
El responsable de tratamiento deberá notificar a la Autoridad de Control tan pronto como tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales. Dicha notificación deberá realizarse sin dilación indebida y a más tardar en el plazo de 72 horas después de que haya tenido constancia de la misma, salvo que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases.
Así mismo, se establece que el encargado del tratamiento estará obligado a notificar sin dilación indebida al responsable del tratamiento las violaciones de la seguridad de los datos personales de las que tenga conocimiento.
La comunicación deberá contener como mínimo la siguiente información:
Así mismo, la violación de seguridad deberá quedar registrada y documentada por el responsable de tratamiento identificando los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas (Esta medida de obligado cumplimiento para los responsables es muy parecida a la medida de seguridad del Registro de Incidencias que marca el RLOD).
Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
Además de la comunicación a la Autoridad de Control el responsable tratamiento deberá comunicar al interesado sin dilación indebida, la violación de la seguridad de los datos personales cuando la misma entrañe un alto riesgo para los derechos y libertades de las personas físicas.
No será necesaria la comunicación al interesado, si el responsable cumple con alguna de las siguientes condiciones:
La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza de la violación de la seguridad de los datos personales y contendrá como mínimo la siguiente información:
Por último, se establece que en aquellos supuestos en los que el responsable no haya comunicado al interesado la violación de la seguridad de los datos personales, la Autoridad de Control, podrá exigirle que lo haga o que cumpla alguna de las condiciones anteriormente señaladas, si ésta última considera que existe probabilidad de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Comments are closed.
Twitter