Protección de datos

Inizia les ayudará a analizar los riesgos de su organización de tal forma que se defina si se tratan o no datos sensibles, si hay gran cantidad de datos, si se elaboran perfiles, si se cruzan los datos obtenidos de los interesados, la finalidad para la que van a ser utilizados, si se utilizan tecnologías invasivas para la privacidad, y en definitiva se les ayudará a adaptarse a las exigencias del Reglamento en el proceso de valoración del riesgo.

Volver

El Reglamento de Protección de Datos establece que es obligación del Responsable mantener un Registro de Operaciones de Tratamiento en el que se debe recoger la siguiente información:

• Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos, si existiese.
• Finalidades del Tratamiento.
• Descripción de categorías de interesados y categorías de datos personales tratados.
• Transferencias Internacionales de Datos.

Volver

Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales. Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.

Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.

Volver

El RGPD exige a los responsables y encargados establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Anteriormente las medidas del Reglamento de la LOPD estaban basadas casi exclusivamente en el tipo de datos que se trataban, con alguna matización relativa al contexto en que se llevaban a cabo los tratamientos, pero ahora, con el RGPD pide que se tomen en consideración más variables.

Estas medidas técnicas y organizativas deberán establecerse teniendo en cuenta:

• El coste de la técnica.
• Los costes de aplicación.
• La naturaleza, el alcance, el contexto y los fines del tratamiento.
• Los riesgos para los derechos y libertades.

Volver

Ejemplos de ello pueden ser sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización, (incluso por su propio personal), o el borrado accidental de algunos registros…, todos constituyen violaciones de seguridad y deben ser tratadas como el Reglamento establece.

Cuando se produce una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación de la quiebra a las autoridades debe producirse, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella, y ha de incluir el siguiente contenido mínimo:

• La naturaleza de la violación.
• Categorías de datos y de interesados afectados.
• Medidas adoptadas por el responsable para solventar la quiebra.
• Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

Los responsables deben documentar todas las violaciones de seguridad y en los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias porque el propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.

La valoración del riesgo de la quiebra trata de establecer hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere, o el tipo de consecuencias que puede tener para los afectados, puede causar un daño en sus derechos o libertades. Estos daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada, hasta la usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

Se considera que se tiene constancia de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance de tal forma que la mera sospecha de que ha existido una quiebra, o la constatación de que ha sucedido algún tipo de incidente, sin que se conozcan mínimamente sus circunstancias, no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

En casos de quiebras que por sus características pudieran tener gran impacto, sí podría ser recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido alguna situación irregular respecto a la seguridad de los datos, sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

El criterio de alto riesgo debe entenderse en el sentido de que sea probable que la violación de seguridad ocasione daños de entidad a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

La notificación a los interesados no será necesaria cuando:

• El responsable hubiera tomado medidas técnicas u organizativas apropiadas con anterioridad a la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
• Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
• Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.

Volver

El RGPD establece un contenido mínimo de la Evaluaciones de Impacto sobre la Protección de Datos, aunque no contempla ninguna metodología específica para su realización.

A estos efectos hay que tener en cuenta la existencia de una lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo:

• En casos de elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
• Supuestos de tratamientos a gran escala de datos sensibles.
• Cuando existe una observación sistemática a gran escala de una zona de acceso público.

Volver