A diferencia de las medidas de seguridad que se contemplaban en la antigua LOPD, que ya ha sido derogada, que estaban determinadas al detalle de un modo muy exhaustivo en función del tipo de datos objeto de tratamiento, en el Reglamento general de protección de datos nos encontramos con que serán los responsables y encargados de protección de datos los que establecerán una serie de medidas de seguridad adecuadas al grado de riesgo que se habrá de detectar en el análisis de riesgo obligatorio que se establece en el RGPD. En nuestra solución de ayuda al cumplimiento de la normativa, SEGURPLUS incluimos un módulo específico para controlar este análisis.
En concreto, según dispone el RGPD en su artículo 32, “las medidas de seguridad que se adoptarán se elegirán en función de:
- El coste de aplicación.
- El estado de la técnica.
- La naturaleza, alcance, contexto y finalidad del tratamiento.
- El riesgo calculado y la probabilidad de que ocurra.”
Si ya se vienen aplicando medidas de seguridad de la antigua LOPD, se podrán mantener siempre que sean las más adecuadas para el nivel de seguridad requerido, o cambiarlas si es necesario.
Se podrán complementar las mismas con nuevas medidas o dejar de aplicar algunas, en función del resultado del citado análisis.
Tan solo en casos en los que exista algún tratamiento que suponga un alto riesgo para los derechos y libertades de los afectados se aplicarán medidas como la Evaluación de Impacto.
Teniendo en cuenta que según el citado artículo del RGPD, las medidas se modularán dependiendo:
- del riesgo asociado a cada tratamiento.
- que todos los responsables tendrán como obligación la realización de una medición del riesgo que tienen las actividades de tratamiento que llevan a cabo,con el fin de elegir las medidas a aplicar.
- y el modo de hacerlo.
Algunas de las medidas técnicas y organizativas que se contemplan en el artículo 32, con las que los encargados y responsables de la protección de datos podrán hacer frente al riesgo en su entidad son las siguientes:
“a) la seudonimización y el cifrado de datos personales;
- b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico;
- d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”
Desde Fersoft, y teniendo en cuenta todas las especificaciones más arriba citadas, hemos añadido a nuestro software SEGURPLUS la opción de realizar un análisis de riesgos, indicándole tanto los riesgos y amenazas que podrían afectar a su entidad, como el porcentaje de que esto ocurra, el impacto que esto tendría y las recomendaciones personalizadas al respecto de las medidas de seguridad que podría aplicar.
Le recordamos que desde Fersoft les ofrecemos, a clientes con mantenimiento, un servicio de asesoramiento ilimitado en cuanto al uso del programa, de cara a su configuración y optimización, así como un servicio de asistencia técnica que incluye además del equipo de técnicos las recomendaciones personalizadas ofrecidas por nuestro departamento jurídico.