Entradas

PYMES y datos

Medidas de seguridad del nuevo reglamento de protección de datos.

Medidas de seguridad del nuevo reglamento de protección de datos.

1. Hemos recibido muchas consultas sobre qué medidas de seguridad debemos implementar en las empresas para cumplir con la normativa sobre protección de datos. Si hay que poner contraseñas en los ordenadores, o si necesitamos guardar los documentos bajo llave… ¿Son todas estas medidas obligatorias?

– La nueva normativa sobre protección de datos no recoge un catálogo de medidas tasadas como incluía anteriormente el reglamento de desarrollo de la LOPD.
Responsabilidad proactiva, requiere un enfoque basado en el riesgo: en función del riesgo que presente la empresa, debemos tomar unas medidas de seguridad u otras.
– Garantizarse una seguridad adecuada de los datos (art. 5 RGPD)
– Para saber qué medidas son las más adecuadas: análisis de riesgos y, en su caso, evaluaciones de impacto
– Habrá que tener siempre en cuenta el coste de la técnica, los costes de aplicación, la naturaleza, alcance y fines del tratamiento y los riesgos para los derechos y libertades

2. sin embargo, el Reglamento General de Protección de Datos y la LOPDGDD si recogen algunas medidas como obligatorias. ¿No es así?

– Una serie de medidas que siempre serán obligatorias cuando se den determinadas circunstancias:
Contar con un Delegado de Protección de Datos
Registro de actividades del tratamiento
Evaluaciones de impacto: privacidad desde el diseño
Consultas previas a la autoridad de control
Cumplimiento del deber de informar
Garantizar el cumplimiento de los derechos para los interesados
Informar sobre las brechas de seguridad

3. Entonces, por donde debemos empezar a la hora de implementar las medidas de seguridad dentro de una empresa

– en primer lugar, comenzaremos siempre por una evaluación inicial de la situación y un análisis de riesgos o, en su caso, evaluación de impacto. Del mismo modo, Habrá que identificar las amenazas (accesos ilegítimos, modificación de los datos no autorizada, eliminación de datos)
– Será necesario el asesoramiento de un experto
– Establecer protocolos para el cumplimiento

4. Destacan especialmente las figuras del “Análisis de Riesgos y la Evaluación de Impacto”. ¿Cuándo debemos realizar uno u otro?

– Va a depender en gran medida de la probabilidad de que se produzca un riesgo y la gravedad en caso de producirse
– La evaluación de impacto es una herramienta preventiva que permite identificar, evaluar y tratar los riesgos.
– Algunos supuestos tasados por la ley o Reglamento:

Art. 35: Alto riesgo por su naturaleza, alcance, contexto o fines
(Especialmente si utiliza nuevas tecnologías)
 Evaluación sistemática a gran escala de zonas de acceso público
 Tratamiento a gran escala de datos especialmente protegidos
 Uso de tecnologías invasivas

o LOPDGDD
El Art. 28 considera de especial riesgo determinados tratamientos:

¨ Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
¨ El tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
¨ Cuando el tratamiento afecte de forma no incidental o accesoria a categorías especiales de datos
¨ El tratamiento sirva para crear perfiles
¨ Se traten datos de colectivos especialmente vulnerables
¨ Cuando se realicen tratamientos masivos de datos
¨ Se vayan a transferir los datos a terceros países sin nivel adecuado de protección
¨ O así se prevea en códigos de conducta o esquemas de certificación

– En todo caso, es el responsable quien tendrá que justificar que la evaluación de impacto no era necesaria

5. ¿Puedo seguir aplicando las mismas medidas de seguridad que aplicaba hasta ahora?

– Siempre que hayas realizado el correspondiente análisis de riesgos o evaluación de impacto y del mismo se desprenda que son las más adecuadas.

6. ¿Qué pasa si no cumplo?

– Si se trata de alguna de las medidas obligatorias: posible sanción o Infracción grave

(art. 37.t LOPDGDD) “El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible”.

– Grave riesgo de brechas de seguridad
Perjuicios reputacionales