Una vez identificados los ficheros y la responsabilidad del tratamiento (ver artículos anteriores de la aplicación del GDPR), debemos establecer una política de seguridad que garantice la aplicación de medidas adecuadas de protección datos.
La LOPD basa las medidas de seguridad en la aplicación de niveles de seguridad (Básico, Medio y Alto), detallando acciones precisas de índole técnica y organizativa a adoptar para cada nivel. Estas medidas se reflejan en el Documento de seguridad y son controladas por el Responsable de seguridad con el objetivo de implementarlas y revisar su cumplimiento.
El GDPR difiere de la LOPD en que no especifica niveles de seguridad con un detalle de acciones precisas, ni obliga a redactar un Documento de seguridad, ni a nombrar un responsable del mismo. El nuevo Reglamento establece disposiciones específicas para cada categoría de datos y de tratamiento y responsabiliza a la organización (Responsable del tratamiento) de que las medidas tomadas sean las adecuadas para proteger los datos, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.
Recordamos las diferentes categorías de datos y de tratamiento:
Categorías de datos |
|
Categorías de tratamiento |
|
A continuación detallaremos las medidas de seguridad para cada categoría de datos. En el próximo artículo haremos lo mismo con las categorías de tratamiento.
Las medidas de seguridad básicas se aplicarán a cualquier categoría de datos y de tratamiento y se basarán en el principio de integridad y confidencialidad, debiendo ser el Responsable del tratamiento capaz de demostrar su cumplimiento (principio de responsabilidad proactiva).
El principio de integridad y confidencialidad obliga a implementar medidas técnicas y organizativas adecuadas para proteger los datos contra tratamientos no autorizados o ilícitos y su pérdida, destrucción o daño accidentales. Para ello se deberá confeccionar un protocolo de actuación (Política de seguridad) para la protección de datos en todas las operaciones de tratamiento.
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Responsabilidad |
|
Riesgos |
|
> 250 empleados |
|
Las medidas de seguridad relativas a la responsabilidad se han tratado en el anterior artículo “Aplicación del GDPR: 3. Responsabilidad del tratamiento”, por lo que ahora nos centraremos únicamente en los riesgos.
Para evaluar el nivel de seguridad a implantar en la organización se analizarán los altos riesgos que entrañe el tratamiento como consecuencia de:
Según el alto riesgo previsto, se aplicarán las siguientes medidas de protección de datos:
Cuando sea probable que el tratamiento comporte un alto riesgo para los derechos y libertades de los interesados, se realizará una evaluación de impacto que determine dichos riesgos y la forma de mitigarlos, especialmente si se utilizan nuevas tecnologías y si naturaleza, alcance, contexto o fines del tratamiento prevean el alto riesgo.
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Siempre |
|
Alto riesgo |
|
El Responsable del tratamiento deberá garantizar desde el diseño y por defecto, antes y durante el tratamiento, la aplicación efectiva de los principios de protección de datos mediante las siguientes medidas de seguridad:
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Principios |
|
Interesados |
|
Acceso a datos |
|
Alto riesgo |
|
Aunque el Reglamento no dispone de actuaciones precisas para garantizar la seguridad de los datos, se deberán tomar unas medidas mínimas de seguridad y que estas sean adecuadas al tipo de tratamiento con el fin de mitigar los riesgos del mismo, por ejemplo:
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Organización |
|
Conservación |
|
Acceso |
|
Procesamiento |
|
Transporte |
|
Eliminación |
|
Copias de respaldo |
|
Protección |
|
Riesgos |
|
Redes |
|
Internacional |
|
Auditorías |
|
Las categorías especiales de datos se refieren a tratamientos relativos al origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud o a la vida y orientación sexuales.
Las medidas de seguridad específicas para categorías especiales de datos son:
Para clarificar los términos “actividad principal” y “gran escala” detallamos su significado:
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Licitud |
|
Siempre |
|
Gran escala |
|
Esta categoría se refiere al tratamiento de datos relativos a condenas y delitos penales o medidas de seguridad afines.
Las medidas de seguridad específicas para categorías de datos penales son:
TRATAMIENTO | MEDIDAS DE SEGURIDAD |
Licitud |
|
Siempre |
|
Gran escala |
|
Tema anterior: 3. Responsabilidad del tratamiento Tema siguiente: 5. Categorías de tratamiento