DATA SECURITY
 

La seguridad del tratamiento en el GDPR

 


26/09/2016 | FS Consultores SL | NEWS - GDPR - Responsabilidad del tratamiento
 

Política de seguridad


Ya en el artículo 5, apartado f) del GDPR se establece como uno de los principios relativos al tratamiento el Principio de Integridad y Confidencialidad, disponiendo que los datos serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.

Para garantizar el cumplimiento de este principio, el GDPR incluye las disposiciones relativas a la aplicación de medidas técnicas u organizativas apropiadas que garanticen la seguridad de los datos en el Capítulo IV (Responsable del tratamiento y encargado del tratamiento) compuesto por las siguientes secciones:
 
  1. Obligaciones generales (artículos 24 a 31)
  2. Seguridad de los datos personales (artículos 32 a 34)
  3. Evaluación de impacto relativa a la protección de datos y consulta previa (artículos 35 y36)
  4. Delegado de protección de datos (artículos 37 a 39)
  5. Códigos de conducta y certificación (artículos 40 a 43)
 
Todo el Reglamento en general y el capítulo IV en particular son en sí mismo un cúmulo de disposiciones de seguridad para la protección de datos. Por ello y como resumen de la política de seguridad a implementar, se deben aplicar las siguientes medidas:
       

Responsabilidad del tratamiento (artículo 24)


El Responsable del tratamiento, antes y durante el tratamiento, deberá aplicar medidas de protección de datos proporcionadas en relación con las actividades del tratamiento e implementar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento del Reglamento, teniendo en cuenta:
   
 Más información sobre la responsabilidad del tratamiento en: La Responsabilidad del tratamiento en el GDPR
 
 

Protección de datos desde el diseño y por defecto (artículo 25)


El Responsable del tratamiento deberá garantizar desde el diseño y por defecto, antes y durante el tratamiento, la aplicación efectiva de los principios de protección de datos a todos datos personales tratados, así como al plazo de conservación y a su accesibilidad:
   
El Responsable del tratamiento podrá utilizar los mecanismos de certificación establecidos en el Reglamento (artículo 42) para demostrar la protección de los datos desde el diseño y por defecto.

 

Seguridad del tratamiento (artículo 32)


El Responsable y el Encargado del tratamiento deberán implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.

La política de seguridad deberá garantizar la implantación de medidas adecuadas para la protección de los derechos y libertades de los interesados. Para evaluar el nivel de seguridad a implantar, se tendrán en cuenta los riesgos que pueda tener el tratamiento como consecuencia de:
 
Se aplicarán, según corresponda la probabilidad y gravedad del riesgo que entrañe del tratamiento, las siguientes medidas:
 
El Responsable o Encargado del tratamiento podrán utilizar la adhesión a los Códigos de conducta o mecanismos de Certificación establecidos en el Reglamento para demostrar la implantación de las medidas de seguridad.
 
 

Violación de la seguridad de los datos (artículos 33 y 34)


El Responsable y el Encargado del tratamiento deben tomar suficientes medidas para prevenir daños o perjuicios a interesados o terceros en el transcurso del tratamiento de datos, tales como la pérdida de control sobre sus datos personales o la restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física.

También obliga al Responsable a notificar dichas violaciones a la Autoridad de control en un máximo de 72 horas e incluso a comunicarlas a los interesados afectados si se prevé que la incidencia pueda entrañar un alto riesgo para sus derechos y libertades.

Más información sobre violaciones de la seguridad en: La violación de seguridad en el GDPR

 

Evaluación de impacto relativa a la protección de datos (artículo 35)


El Responsable del tratamiento será el encargado de evaluar el origen, la naturaleza, la particularidad y la gravedad de los riesgos del tratamiento y de diseñar medidas adecuadas para mitigarlos y garantizar la protección de datos, habida cuenta de la tecnología disponible y los costes de aplicación. Para ello, el Responsable del tratamiento deberá realizar una evaluación de impacto cuando:
   
Más información sobre la evaluación de impacto en: La evaluación de impacto en el GDPR

Josep Aragonés Salvat


Esta web utiliza la cookie _ga propiedad de Google Analytics, persistente durante 2 años, para habilitar la función de control de visitas únicas con el fin de facilitarle su navegación por el sitio web.
Si continúa navegando consideramos que está de acuerdo con su uso. Podrá revocar el consentimiento y obtener más información consultando nuestra Política de cookies

Acepto