Las medidas de seguridad técnicas y organizativas vienen recogidas en el art. 32 y en el considerando 83 del RGPD.
Artículo 32: Seguridad del tratamiento
- Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- La adhesión a un código de conducta aprobado a tenor del artículo 40 (Códigos de conducta) o a un mecanismo de certificación aprobado a tenor del artículo 42 (Certificación) podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
- El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Las medidas de seguridad técnicas y organizativas se deberán implantar en función del nivel adecuado al riesgo de los distintos tratamientos. En consecuencia, será fundamental identificar los niveles de riesgo existentes en cada tratamiento de datos para poder determinar las medidas de seguridad técnicas que deberán ser implantadas por el responsable o encargado de tratamiento. De igual forma a la privacidad por defecto y desde el diseño, se deberá tener en cuenta en la implantación de dichas medidas de seguridad:
A diferencia de nuestra actual normativa de protección de datos, el RGPD no establece un listado estructurado de medidas de seguridad que deberán ser implantadas en función del riesgo o nivel de seguridad o protección. Igualmente, tampoco prevé que exista un desarrollo o especificación de las mismas por parte de las Autoridades de Control, Estados Miembros o el propio Comité o Grupo de Trabajo 29. Será, por tanto, un estudio y análisis específico basado en el enfoque al riesgo que deberán realizar los responsables y encargados del tratamiento a fin de mantener la seguridad en el tratamiento de datos. Para dicha evaluación de riesgo, el considerando 83 señala que se deberán tener en cuenta los riesgos derivados del tratamiento que sean susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales como son:
Si bien no establece un listado de medidas de seguridad que deben de ser aplicables a los tratamientos de datos, sí se establece que en todo caso entre otras medidas se deberá garantizar:
Podemos observar que las medidas de seguridad y niveles de protección de datos introducidas por la normativa española de protección de datos a través del RLOPD, dejan de ser obligatorias a partir de mayo de 2018 y, en consecuencia, normas vinculantes para los responsables y encargados de tratamiento. De esta manera, a partir de mayo de 2018 los responsables y encargados de tratamiento deberán realizar su propio análisis de riesgo y evaluar qué medidas de seguridad técnicas y organizativas consideran que deben de ser aplicables para garantizar la seguridad y confidencialidad en el tratamiento de datos personales. Las conclusiones alcanzadas sobre qué medidas deben de ser aplicables podrán o no coincidir total o parcialmente con las medidas de seguridad que establecía el RLOPD. Por lo tanto, se pasa de un modelo rígido de obligaciones a un modelo variable o dinámico cuya aplicación o implantación dependerá del caso concreto y del análisis de riesgo que cada responsable o encargado realice en función de los tratamientos de datos que deba realizar. De igual forma, la supervisión de dichas medidas para verificar, evaluar y valorar su eficacia en cuanto a la seguridad de los tratamientos, no dependerá del cumplimiento de un listado exhaustivo de medidas de seguridad, si no que se centrará en cuál ha sido el análisis de riesgo que realizado por el responsable o encargado de tratamiento para garantizar la seguridad del tratamiento de datos.
Finalmente, en materia de seguridad técnica y organizativa, señala el RGPD que la adhesión a códigos de conducta o mecanismos de certificación por parte de los responsables o encargados de tratamiento servirá como elemento a tener en cuenta a la hora de demostrar el cumplimiento de las medidas de seguridad del RGPD. Un ejemplo de dichos Códigos de conducta se puede encontrar en el reciente código de conducta de los proveedores de Infraestructuras de Servicios en Cloud (Código de Conducta en Protección de Datos de CISPE.cloud)