2.8 Medidas de seguridad. Análisis de riegos
El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD 15/1999 no seguirá siendo válido de forma automática tras la fecha de aplicación del RGPD.
En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD 15/1999 si de los resultados del análisis de riesgos previo se concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado.
En otras ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas.
Se debe tener en cuenta, como ya hemos indicado en la anterior pregunta-respuesta, que las medidas técnicas y organizativas deberán establecerse de acuerdo con:
- El coste de la técnica.
- Los costes de aplicación.
- La naturaleza, el alcance, el contexto y los fines del tratamiento.
- Los riesgos para los derechos y libertades.
Si antes el Reglamento de Desarrollo de la LOPD 15/1999 determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento, con el RGPD los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.
Además, el RGPD exige que se tomen en consideración más variables, ello como pilar básico del principio de responsabilidad proactiva.
El RGPD prevé que las medidas de cumplimiento para responsables o encargados deban aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de los interesados.
Por ello, responsable y encargados deben llevar a cabo una valoración del riesgo de sus tratamientos realicen, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo variará en función de:
- Los tipos de tratamiento.
- La naturaleza de los datos.
- El número de interesados afectados.
- La cantidad y variedad de tratamientos que realice una misma organización.
En las grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
En las organizaciones de menor tamaño y con tratamientos de poca complejidad, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.
El análisis de riesgo deberá dar respuesta a cuestiones como las que se exponen a continuación.
Cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. Si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos.
- ¿Se tratan datos sensibles?
- ¿Se incluyen datos de una gran cantidad de personas?
- ¿Incluye el tratamiento la elaboración de perfiles?
- ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
- ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
- ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
- ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?
La AEPD ha desarrollado materiales para ayudar en el proceso de valoración de los riesgos en tratamientos, como la Guía sobre análisis de riesgos y la Guía de evaluaciones de impacto, que se pueden consultar en los siguientes enlaces:
Conviene precisar que el programa Facilita_RGPD de la AEPD no garantiza el pleno cumplimiento del RGPD, siendo una herramienta destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgo para los derechos y libertades de las personas cuyos datos tratan, teniendo en cuenta que todo tratamiento conlleva un cierto nivel de riesgo.
Por tanto, si una empresa utiliza Facilita_RGPD puesto que sus tratamientos son de escaso nivel de riesgo, no es necesario realizar el análisis de riesgos, sin perjuicio de que se adopten las correspondientes medidas de seguridad.
La herramienta FACILITA_RPGD se encuentra disponible en el siguiente enlace
Entre las medidas de responsabilidad activa (proactividad) se encuentra la figura de la protección de datos desde el diseño y por defecto; medidas se incluyen dentro de las que debe aplicar el responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando.
Este tipo de medidas reflejan muy directamente el enfoque de tal responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.
Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.