Contacte
El Reglament no estableix un llistat de les mesures de seguretat que s’han aplicar d'acord amb la tipologia de dades objecte de tractament, sinó que estableix que el responsable i l'encarregat del tractament han d’aplicar les mesures tècniques i organitzatives adequades al risc que comporta el tractament. Això implica que cal fer una avaluació dels riscos associats a cada tractament, per determinar les mesures de seguretat que cal implementar.
El Reglament exigeix al responsable i a l'encarregat del tractament que avaluïn el nivell de risc per al tractament de dades que volen dur a terme i, a partir d'aquí, determinin les mesures de seguretat que s'han d'aplicar en cada cas.
Els riscos s’han de concretar i s’ha de decidir quines són les mesures més adequades.
Cal:
- Determinar el context en el qual s’efectuen les activitats de tractament.
- Identificar les situacions de risc.
- Analitzar els riscos.
- Avaluar-los.
- Tractar-los mitjançant mesures que minimitzin la probabilitat i gravetat derivades de les operacions de tractament.
- Revisar els riscos.
Cal triar el model de bones pràctiques en seguretat de la informació que s’utilitzarà per concretar les mesures a implantar.
En el cas del sector públic, la disposició addicional primera de l'LOPDGDD estableix el següent: "el Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos de carácter personal, para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679."