Contacte
L’RGPD no estableix cap llistat de mesures de seguretat basat en els nivells de seguretat bàsic, mitjà i alt, com preveia l’RLOPD. Deixa a criteri del responsable i de l’encarregat, prèvia avaluació dels riscos, determinar quines mesures de seguretat cal implementar en cada supòsit.
En qualsevol cas, s’han d’establir les mesures de seguretat tècniques i organitzatives apropiades per garantir un nivell de protecció adequat al risc. Les mesures previstes a l’RLOPD que ja estiguin implantades poden ser útils, però cal analitzar en cada cas si són suficients o s’han de modificar.
En qualsevol cas, per a les entitats del sector públic cal tenir en compte que la disposició addicional primera de l’LOPDGDD estableix que les entitats enumerades a l’article 77.1 de la mateixa Llei orgànica han de complir les mesures de seguretat que corresponguin d’acord amb l’Esquema Nacional de Seguretat (ENS). D’acord amb l’apartat primer d’aquesta disposició addicional, l’ENS ha de tenir en compte el risc del tractament de les dades personals d’acord amb l’RGPD.
D’acord amb el principi de transparència i la normativa aplicable en matèria de protecció de dades personals, la informació inclosa en la política de privacitat s’ha de facilitar en tots els idiomes utilitzats en el lloc web.
Des del moment en què es dissenya un producte, un servei o una aplicació que implica el tractament de dades personals, el responsable del tractament ha d’adoptar les mesures organitzatives i tècniques per integrar en el tractament, producte o servei garanties que permetin complir els principis de l’RGPD.
Aquestes mesures poden consistir a reduir al màxim el tractament de dades personals. Pseudonimitzar les dades personals tant aviat com sigui possible i donar transparència a les funcions i al tractament de dades personals permeten als interessats supervisar el tractament i al responsable del tractament, crear i millorar elements de seguretat.
Si voleu saber més detalls sobre aquest tema, podeu consultar les directrius 4/2019 del Comitè Europeu de Protecció de Dades sobre l’article 25 de l’RGPD, protecció de dades en el disseny i protecció de dades per defecte.
Sí, l’article 32 sobre la seguretat del tractament fa un enfocament basat en el risc. Estableix, per exemple, que s’han d’implementar unes mesures tècniques i organitzatives per garantir un nivell de seguretat apropiat al risc; en particular, del risc associat a la pèrdua, destrucció, accés, alteració i revelació no autoritzada de les dades.
En certa manera, l’anàlisi de riscos és la base mínima exigible quan una avaluació d’impacte no és obligatòria.
Les formes de fer una anàlisi de riscos són molt variades. En les més senzilles, l’analista s’encarrega d’identificar i assignar una valoració a cada risc; el problema d’aquesta manera de procedir és que el resultat és molt subjectiu. Les diferents metodologies d’anàlisi de riscos existents busquen donar una estimació acurada i menys depenent de la subjectivitat de l’analista.
Per entendre la varietat de metodologies de gestió de risc, pot ser d’utilitat l’estàndard ISO/IEC 27005, que no descriu una metodologia concreta, sinó que revisa les diverses fases en la gestió de riscos i presenta diferents maneres d’implementar per aquestes fases. Per exemple, una diferència essencial pot ser entre metodologies que ofereixen una aproximació qualitativa o una de quantitativa: les qualitatives acostumen a ser menys complexes i menys costoses de portar a terme i poden ser bones com a primera aproximació.
Pel que fa a les metodologies concretes, n’hi ha moltes: OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation), FAIR (Factor Analysis of Information Risk), NIST RMF (National Institute of Standards and Technology's Risk Management Framework), MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) o aquesta proposta d’ENISA per a organitzacions mitjanes i petites.
D’acord a la disposició addicional primera de la LOPDGDD, l’Esquema Nacional de Seguretat determina les mesures de seguretat que cal implantar per protegir les dades personal a les entitats del sector públic (aquelles enumerades a l’Article 77.1 de la LOPDGDD) i a altres actors que els presten serveis en el tractament. Tot i que l’Esquema Nacional de Seguretat només exigeix l’ús d’una metodologia d’anàlisi de riscos amb reconeixement internacional (sense citar cap metodologia o eina concreta), Magerit s’ha desenvolupat amb l’objectiu de facilitar-ne la implantació.
Independentment de la metodologia utilitzada, convé remarcar que en l’avaluació de riscos pels drets i les llibertats de les persones s’imposa una anàlisi des del punt de vista dels interessats; és a dir, cal tenir en compte que un risc que podria ser assumible des del punt de vista de l’organització pot tenir un impacte molt elevat sobre una persona concreta.