Ya en el artículo 5, apartado f) del GDPR se establece como uno de los principios relativos al tratamiento el Principio de Integridad y Confidencialidad, disponiendo que los datos serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
Para garantizar el cumplimiento de este principio, el GDPR incluye las disposiciones relativas a la aplicación de medidas técnicas u organizativas apropiadas que garanticen la seguridad de los datos en el Capítulo IV (Responsable del tratamiento y encargado del tratamiento) compuesto por las siguientes secciones:
Todo el Reglamento en general y el capítulo IV en particular son en sí mismo un cúmulo de disposiciones de seguridad para la protección de datos. Por ello y como resumen de la política de seguridad a implementar, se deben aplicar las siguientes medidas:
El Responsable del tratamiento, antes y durante el tratamiento, deberá aplicar medidas de protección de datos proporcionadas en relación con las actividades del tratamiento e implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento del Reglamento, teniendo en cuenta:
Más información sobre la responsabilidad del tratamiento en: La Responsabilidad del tratamiento
El Responsable del tratamiento deberá garantizar desde el diseño y por defecto, antes y durante el tratamiento, la aplicación efectiva de los principios de protección de datos a todos datos personales tratados, así como al plazo de conservación y a su accesibilidad:
El Responsable del tratamiento podrá utilizar los mecanismos de certificación establecidos en el Reglamento (artículo 42) para demostrar la protección de los datos desde el diseño y por defecto.
El Responsable y el Encargado del tratamiento deberán implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.
La política de seguridad deberá garantizar la implantación de medidas adecuadas para la protección de los derechos y libertades de los interesados. Para evaluar el nivel de seguridad a implantar, se tendrán en cuenta los riesgos que pueda tener el tratamiento como consecuencia de:
Se aplicarán, según corresponda la probabilidad y gravedad del riesgo que entrañe del tratamiento, las siguientes medidas:
El Responsable o Encargado del tratamiento podrán utilizar la adhesión a los Códigos de conducta o mecanismos de Certificación establecidos en el Reglamento para demostrar la implantación de las medidas de seguridad.
El Responsable y el Encargado del tratamiento deben tomar suficientes medidas para prevenir daños o perjuicios a interesados o terceros en el transcurso del tratamiento de datos, tales como la pérdida de control sobre sus datos personales o la restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física.
También obliga al Responsable a notificar dichas violaciones a la Autoridad de control en un máximo de 72 horas e incluso a comunicarlas a los interesados afectados si se prevé que la incidencia pueda entrañar un alto riesgo para sus derechos y libertades.
Más información sobre violaciones de la seguridad en: La violación de seguridad
El Responsable del tratamiento será el encargado de evaluar el origen, la naturaleza, la particularidad y la gravedad de los riesgos del tratamiento y de diseñar medidas adecuadas para mitigarlos y garantizar la protección de datos, habida cuenta de la tecnología disponible y los costes de aplicación. Para ello, el Responsable del tratamiento deberá realizar una evaluación de impacto cuando:
Más información sobre la evaluación de impacto en: La evaluación de impacto
Tema anterior: 10. Los Destinatarios de datos Tema siguiente: 12. La violación de seguridad