Continuando con esta serie de entradas relativas a la readecuación y reimplantación del Sistema de Protección de Datos de Carácter Personal al nuevo RGPD 2016/679, se sigue en ésta Continuando con esta serie de entradas relativas a la readecuación y reimplantación del Sislos contenidos según el post Calendario 2017 para la LOPD – Noviembre que se corresponde con la Seguridad del Tratamiento (Artículo 32 del RGPD).
El presente artículo pone de manifiesto, en cuatro aspectos, la adopción de medidas técnicas y organizativas de modo que se garantice un nivel de seguridad proporcional al nivel de riesgo.
1. El primer punto del presente artículo, pone de manifiesto qué «variables» se tienen en cuenta a efecto de criterio para adoptar el nivel de seguridad en el tratamiento de los datos. A saber:
- El estado de la técnica,
- Los costes de aplicación,
- La naturaleza,
- El alcance,
- El contexto y los fines del tratamiento,
Por añadidura se incluye aquellas basadas en riesgo y gravedad.
- Riesgos de probabilidad y,
- Gravedad variable para los derechos y libertades de las personas físicas.
Esas medidas implantadas por el responsable y el encargado del tratamiento tienen como objetivo garantizar, como se ha dicho, un nivel de seguridad directamente proporcional al riesgo. Estas medidas incluirá como mínimo lo siguiente:
a) la seudonimización y el cifrado de datos personales:
Según el artículo 4.5 del RGPD, se entiende por seudonimización, todo aquel tratamiento que no permita asociar unos datos (a un afectado) sin información complementaria, dicha información complementaria deberá figurar por separado, así mismo, deberá estar sujetas a medidas técnicas y organizativas. Dichas medidas estarán destinadas a garantizar el ‘anonimato’ de una persona identificada o identificable.
b) La capacidad de garantizar:
- Confidencialidad: o garantía que los Datos de Carácter Personal están accesibles únicamente a personal autorizado a acceder a dicha información.
- Integridad: o la correctitud y completitud de la información en una base de datos.
- Disponibilidad: acceso de personas u organismos a los datos con los que se trabaja.
- La vuelta a estados originales de los datos (resiliencia permanente) para los sistemas y servicios de tratamiento.
c) Capacidad de respuesta ante un incidente físico o técnico de modo que ello permita restaurar la disponibilidad y el acceso a los datos personales de forma rápida.
d) Medir la eficacia de las medidas técnicas y organizativas, de modo que tras un proceso de verificación, evaluación y valoración se obtenga un grado de seguridad del tratamiento.
2. Cuando se evalúe el grado de adecuación del nivel de seguridad, se considerará el riesgo en el tratamiento de datos en cuanto a: destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La seguridad en el tratamiento de los datos podrá ser avalada por un código de conducta al amparo del artículo 40 o conforme a un mecanismo de certificación aprobado por el artículo 42. Estos elementos son probatorios en el cumplimiento de los requisitos especificados en el apartado 1 del presente artículo.
4. Por último, se le atribuye tanto al responsable como al encargado del tratamiento, la toma de medidas. De este modo garantizarán que cualquier persona que actúen bajo la autoridad de aquellos tengan acceso a Datos de carácter personal siguiendo las instrucciones de ambas figuras, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Fuente-Información: © RGPD 2016/679 / © Noticias Jurídicas
Fuente-Foto: © de su autor / © publicación