Estas medidas se encuentran recogidas en el RGPD y serán de obligada aplicación para los responsables y algunos encargados para demostrar su cumplimiento de la normativa y que estén en situación de justificarlo.1. Medidas de seguridad.2. Análisis de riesgo.
3. Registro de actividades de tratamiento.
4. Protección de datos desde la Protección de datos.
5. Notificación de “brechas en la seguridad de los datos”.
6. Evaluaciones de impacto sobre Protección de datos.
7. Delegado de protección de datos.
A continuación vamos a desarrollar dos de las medidas de responsabilidad activa que hay que llevar a cabo:
MEDIDAS DE SEGURIDAD
Los responsables y encargados dispondrán de establecer las medidas técnicas y organizativas que permitan garantizar un nivel de seguridad adecuado en función a los riesgos detectados en el análisis previo (Análisis de riesgo).
Las medidas técnicas y organizativas deberán determinarse atendiendo a:
• Coste de la técnica.
• Coste de la aplicación.
• La naturaleza, el alcance, el contexto y los fines del tratamiento.
• Los riesgos para los derechos y libertades.
Las medidas de seguridad establecidas en el Reglamento de desarrollo de la LOPD no serán válidas por defecto tras la aplicación del RGPD.
Siempre que los resultados del análisis de riesgo previo indique que es adecuado se podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD. En ocasiones se podrán complementar con medidas añadidas o, en un caso dejar de utilizar algunas medidas.
ANÁLISIS DE RIESGO
El adoptar las medidas de responsabilidad activa que nos propone el RGPD, tendrá que ver con lo que pueda suponer los tratamientos de datos de la entidad con los riesgos para los derechos y libertades de los interesados.
Existen dos formas de gestionar el riesgo:
• Cuando en ciertas ocasiones se estime que las medidas (se seguridad??) tan solo se aplicaran cuando el tratamiento suponga un alto riesgo para los derechos y libertades de los afectados. Esto se valorará realizando evaluaciones de impacto sobre protección de datos.
• En otras ocasiones habrá que adaptar las medidas en función al nivel y tipo de riesgo que lleve aparejado el tratamiento, como puede ser la aplicación de las medidas de protección de datos desde diseño o con las medidas de seguridad.
● OBLIGACIÓN
La totalidad de responsables deberán realizar una valoración del riesgo de los tratamientos que hagan para poder evaluar las medidas que deben adoptar y cómo aplicarlas de forma óptima.
El tipo de análisis irá en función de:
• Los tipos de tratamientos
• La naturaleza de los datos
• El número de interesados afectados
• Cantidad y variedad de tratamientos realizados por una misma entidad.
Las grandes organizaciones tendrán que utilizar alguna de las metodologías existentes de análisis de riesgos. Las organizaciones más pequeñas y que dispongan tratamientos poco complejos tendrán que realizar un análisis orientado como una reflexión, mínimamente documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. La reflexión dará respuesta a unas cuestiones detalladas más abajo, y a mayor número de respuestas afirmativas mayor es el riesgo que derivará del tratamiento. Si por el contrario hay un mayor número de repuestas negativas se puede entender que la entidad no realiza tratamientos que produzcan un elevado nivel de riesgo y no será necesario adoptar las medidas previstas en estos casos en el RGPD.
