SCROLL

El Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales, obliga al cumplimiento de una serie de requerimientos y obligaciones para todo Responsable y Encargado de Tratamiento.

Ante la constante evolución tecnológica y los procesos de transformación digital que sufren las actividades de tratamientos de datos personales, la reforma de la regulación de protección de datos supone un cambio del modelo tradicional para afrontar las medidas que garantizan la protección de los datos personales hacen un nuevo modelo más dinámico, enfocado en la gestión continua de los riesgos potenciales asociados al tratamiento de datos.

Desde INIZIA se ofrece la posibilidad de realizar un Plan de Actuación enfocado a garantizar el cumplimiento de esta normativa, analizando los riesgos de las actividades de tratamiento y definiendo las medidas de control y seguridad que deben ser implantadas, de forma tal que se establezca una hoja de ruta que empieza por realizar un ANALISIS O VALORACIÓN DEL RIESGO.

1

ANALISIS DEL RIESGO

Todos los Responsables deberán realizar una valoración del riesgo de los tratamientos que se realicen: tipo de tratamiento, naturaleza de los datos, número de interesados afectados, y variedad de tratamientos dentro de una misma organización.

Ver más

2

REGISTRO DE ACTIVIDADES
DE TRATAMIENTO

El Reglamento de Protección de Datos establece que es obligación del Responsable mantener un Registro de Operaciones de Tratamiento

Ver más

3

PROTECCIÓN DE DATOS DESDE
EL DISEÑO Y POR DEFECTO

El Reglamento de Protección de datos recoge una serie de medidas que debe aplicar el Responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando, lo que refleja muy directamente el enfoque de responsabilidad proactiva.

Ver más

4

MEDIDAS DE SEGURIDAD

Con la anterior normativa en materia de protección de datos de carácter personal, el Reglamento de determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento.

El RGPD exige a los responsables y encargados establecer las medidas técnicas y organizativas 
apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Ver más

5

NOTIFICACIÓN DE VIOLACIÓN DE
SEGURIDAD DE LOS DATOS

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Ver más

6

LA EVALUACIÓN DE IMPACTO SOBRE
LA PROTECCIÓN DE DATOS

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de datos, (EIPD), con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

Ver más

ANALISIS DEL RIESGO

Todos los Responsables deberán realizar una valoración del riesgo de los tratamientos que se realicen: tipo de tratamiento, naturaleza de los datos, número de interesados afectados, y variedad de tratamientos dentro de una misma organización.

1

Inizia les ayudará a analizar los riesgos de su organización de tal forma que se defina si se tratan o no datos sensibles, si hay gran cantidad de datos, si se elaboran perfiles, si se cruzan los datos obtenidos de los interesados, la finalidad para la que van a ser utilizados, si se utilizan tecnologías invasivas para la privacidad, y en definitiva se les ayudará a adaptarse a las exigencias del Reglamento en el proceso de valoración del riesgo.

Volver

REGISTRO DE ACTIVIDADES DE TRATAMIENTO

Desde nuestra organización podemos analizar qué tipo de información es objeto de Tratamiento por parte del Responsable y ayudarles a crear el Registro de Tratamientos, preceptivo según la actual normativa en materia de protección de datos de carácter general.

2

El Reglamento de Protección de Datos establece que es obligación del Responsable mantener un Registro de Operaciones de Tratamiento en el que se debe recoger la siguiente información:

  • Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos, si existiese.
  • Finalidades del Tratamiento.
  • Descripción de categorías de interesados y categorías de datos personales tratados.
  • Transferencias Internacionales de Datos.

Volver

PROTECCIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

El Reglamento de Protección de datos recoge una serie de medidas que debe aplicar el Responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando, lo que refleja muy directamente el enfoque de responsabilidad proactiva

3

Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales. Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.

Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.

Volver

MEDIDAS DE SEGURIDAD

Con la anterior normativa en materia de protección de datos de carácter personal, el Reglamento de determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento.

4

El RGPD exige a los responsables y encargados establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Anteriormente las medidas del Reglamento de la LOPD estaban basadas casi exclusivamente en el tipo de datos que se trataban, con alguna matización relativa al contexto en que se llevaban a cabo los tratamientos, pero ahora, con el RGPD pide que se tomen en consideración más variables.

Estas medidas técnicas y organizativas deberán establecerse teniendo en cuenta:

  • El coste de la técnica.
  • Los costes de aplicación.
  • La naturaleza, el alcance, el contexto y los fines del tratamiento.
  • Los riesgos para los derechos y libertades.

Volver

NOTIFICACIÓN DE VIOLACIÓN DE SEGURIDAD DE LOS DATOS.

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

5

Ejemplos de ello pueden ser sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización, (incluso por su propio personal), o el borrado accidental de algunos registros…, todos constituyen violaciones de seguridad y deben ser tratadas como el Reglamento establece.

Cuando se produce una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación de la quiebra a las autoridades debe producirse, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella, y ha de incluir el siguiente contenido mínimo:

  • La naturaleza de la violación.
  • Categorías de datos y de interesados afectados.
  • Medidas adoptadas por el responsable para solventar la quiebra.
  • Si procede, las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

Los responsables deben documentar todas las violaciones de seguridad y en los casos en que sea probable que la violación de seguridad entrañe un alto riesgo para los derechos o libertades de los interesados, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.

El objetivo de la notificación a los afectados es permitir que puedan tomar medidas para protegerse de sus consecuencias porque el propósito es siempre que el interesado afectado pueda reaccionar tan pronto como sea posible. El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la quiebra.

La valoración del riesgo de la quiebra trata de establecer hasta qué punto el incidente, por sus características, el tipo de datos a los que se refiere, o el tipo de consecuencias que puede tener para los afectados, puede causar un daño en sus derechos o libertades. Estos daños pueden ser materiales o inmateriales, e ir desde la posible discriminación de los afectados como consecuencia de su uso por quien ha accedido a ellos de forma no autorizada, hasta la usurpación de identidad, pasando por perjuicios económicos o la exposición pública de datos confidenciales.

Se considera que se tiene constancia de una violación de seguridad cuando hay una certeza de que se ha producido y se tiene un conocimiento suficiente de su naturaleza y alcance de tal forma que la mera sospecha de que ha existido una quiebra, o la constatación de que ha sucedido algún tipo de incidente, sin que se conozcan mínimamente sus circunstancias, no deberían dar lugar, todavía, a la notificación, dado que en esas condiciones no sería posible, en la mayoría de los casos, determinar hasta qué punto puede existir un riesgo para los derechos y libertades de los interesados.

En casos de quiebras que por sus características pudieran tener gran impacto, sí podría ser recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido alguna situación irregular respecto a la seguridad de los datos, sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.

El criterio de alto riesgo debe entenderse en el sentido de que sea probable que la violación de seguridad ocasione daños de entidad a los interesados. Por ejemplo, en casos en que se desvele información confidencial, como contraseñas o participación en determinadas actividades, se difundan de forma masiva datos sensibles o se puedan producir perjuicios económicos para los afectados.

La notificación a los interesados no será necesaria cuando:

  • El responsable hubiera tomado medidas técnicas u organizativas apropiadas con anterioridad a la violación de seguridad, en particular las medidas que hagan ininteligibles los datos para terceros, como sería el cifrado.
  • Cuando el responsable haya tomado con posterioridad a la quiebra medidas técnicas que garanticen que ya no hay posibilidad de que el alto riesgo se materialice.
  • Cuando la notificación suponga un esfuerzo desproporcionado, debiendo en estos casos sustituirse por medidas alternativas como puede ser una comunicación pública.

Volver

LA EVALUACIÓN DE IMPACTO
SOBRE LA PROTECCIÓN DE DATOS

Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de datos, (EIPD), con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.

6

El RGPD establece un contenido mínimo de la Evaluaciones de Impacto sobre la Protección de Datos, aunque no contempla ninguna metodología específica para su realización.

A estos efectos hay que tener en cuenta la existencia de una lista indicativa de supuestos en que se considera que los tratamientos conllevan un alto riesgo:

  • En casos de elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
  • Supuestos de tratamientos a gran escala de datos sensibles.
  • Cuando existe una observación sistemática a gran escala de una zona de acceso público.

Volver