Cuándo hay que revisar las medidas de protección de datos


Manuel Castilleja Toscano     10/02/2023

El art. 24.1 del RGPD establece que cuando sea necesario, el responsable del tratamiento debe revisar y actualizar las medidas de seguridad técnicas y organizativas adoptadas, para garantizar y acreditar que el tratamiento es conforme a la normativa de protección de datos.

¿Y cuándo es necesario revisar esas medidas?

El mencionado precepto indica que dichas medidas se deben adoptar en función de la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas, por tanto, será necesario revisarlas y actualizarlas cuando se produzca cualquier cambio en los mismos.

Definimos estos conceptos:

  • La naturaleza de un tratamiento determina el cómo está implementado, por ejemplo, automático, manual, mixto, en qué operaciones se estructura el tratamiento, si se ejecuta en la nube, en el móvil, si incluye operaciones biométricas y decisiones automatizadas, si participan encargados de tratamiento, si se llevan a cabo transferencias internacionales, etc.
  • El ámbito y la extensión del tratamiento se establece en función de las categorías de interesados afectados, categorías de datos personales, la duración del tratamiento en sí, la granularidad de los datos, la frecuencia de su recogida, la amplitud geográfica, la conservación de datos por categorías, etc.
  • El contexto está determinado por múltiples factores externos que pueden condicionar el tratamiento, como podrían ser el contexto normativo, las características y condicionantes del sector o mercado donde se despliega, las brechas de datos personales en tratamientos similares, el entorno social, la sensibilidad de las distintas comunidades, etc.
  • Los fines del tratamiento , es decir para qué se lleva a cabo el tratamiento, también los fines colaterales o instrumentales que puedan establecerse posteriormente.
  • Los riesgos para los derechos y libertades, es decir la probabilidad de que el tratamiento suponga un perjuicio o daño para los interesados y las consecuencias que supondrían para los mismos

Por tanto, sería necesario revisarlas, por ejemplo:

  • Si incorporamos una nueva tecnología en una operación de tratamiento
  • Si empiezan a tratarse algunas categorías de datos con mayor nivel de detalle.
  • Si se producen nuevos tipos de brechas de datos personales en entidades o tratamientos similares.
  • Si se amplían o modifican los fines.
  • Si hay conciencia de nuevos riesgos para los derechos fundamentales.
  • etc.

Además, conforme al art. 32.1.d) del RGPD las medidas de seguridad deben incluir un proceso periódico de verificación, evaluación y valoración.

CONCLUSIÓN:

Una política de protección de datos deberá definir procedimientos para detectar los cambios en la naturaleza, contexto, ámbito, fines y riesgos del tratamiento, y para activar de forma inmediata los procesos de revisión y actualización periódicas de las medidas de seguridad.