Contacto
El RGPD no establece ningún listado de medidas de seguridad basado en los niveles de seguridad básico, medio y alto, como preveía el RLOPD. Deja a criterio del responsable y del encargado, previa evaluación de los riesgos, determinar qué medidas de seguridad se deben aplicar en cada supuesto.
En cualquier caso, se establecerán las medidas de seguridad técnicas y organizativas adecuadas para garantizar un nivel de protección adecuado al riesgo. Las medidas previstas en el RLOPD que ya estén implantadas pueden ser útiles, pero se debe analizar en cada caso si son suficientes o deben modificarse.
En cualquier caso, para las entidades del sector público habrá que tener en cuenta que la disposición adicional primera de la LOPDGDD establece que las entidades enumeradas en el artículo 77.1 de esta ley orgánica cumplirán las medidas de seguridad que correspondan de acuerdo con el Esquema Nacional de Seguridad (ENS). De acuerdo con el apartado primero de esta disposición adicional, el ENS tendrá en cuenta el riesgo del tratamiento de los datos personales de acuerdo con el RGPD.
De acuerdo con el principio de transparencia y la normativa aplicable en materia de protección de datos personales, la información incluida en la política de privacidad se facilitará en todos los idiomas utilizados en el sitio web.
Desde el momento en que se diseña un producto, un servicio o una aplicación que implica el tratamiento de datos personales, el responsable del tratamiento adoptará las medidas organizativas y técnicas para integrar en el tratamiento, producto o servicio garantías que permitan cumplir los principios del RGPD.
Estas medidas podrán consistir en reducir al máximo el tratamiento de datos personales. Seudonimizar los datos personales lo antes posible y dar transparencia a las funciones y al tratamiento de datos personales permiten a los interesados supervisar el tratamiento y al responsable del tratamiento crear y mejorar elementos de seguridad.
Si desea saber más detalles sobre este tema, puede consultar las directrices 4/2019 del Comité Europeo de Protección de Datos sobre el artículo 25 del RGPD, protección de datos desde el diseño y protección de datos por defecto.
Sí, el artículo 32 sobre seguridad del tratamiento hace un enfoque basado en el riesgo. Establece, por ejemplo, que se implementarán unas medidas técnicas y organizativas para garantizar un nivel de seguridad apropiado al riesgo; en particular, del riesgo asociado a la pérdida, destrucción, acceso, alteración y revelación no autorizada de los datos.
En cierto modo, el análisis de riesgos es la base mínima exigible cuando una evaluación de impacto no es obligatoria.
Las formas de hacer un análisis de riesgos son muy variadas. En las más sencillas, el analista se encarga de identificar y asignar una valoración a cada riesgo, pero en este modo de proceder el resultado es muy subjetivo. Las diferentes metodologías de análisis de riesgos existentes buscan dar una estimación precisa y menos dependiente de la subjetividad del analista.
Para entender la variedad de metodologías, puede ser de utilidad el estándar ISO/IEC 27005, que no describe una metodología concreta, sino que revisa las diversas fases en la gestión de riesgos y presenta diferentes maneras de implementación para estas fases. Por ejemplo, una diferencia esencial entre metodologías puede ser la aproximación cualitativa o cuantitativa que ofrecen: las cualitativas suelen ser menos complejas y menos costosas de llevar a cabo y pueden ser buenas como primera aproximación.
En cuanto a las metodologías concretas, hay muchas: OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation), FAIR (Factor Analysis of Information Risk), NIST RMF (National Institute of Standards and Technology's Risk Management Framework), MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) o esta propuesta de ENISA para organizaciones medianas y pequeñas.
De acuerdo con la disposición adicional primera de la LOPDGDD, el Esquema Nacional de Seguridad (ENS) determina las medidas de seguridad que se implantarán para proteger los datos personales en las entidades del sector público (las enumeradas en el artículo 77.1 de la LOPDGDD) y en otros actores que les prestan servicios en el tratamiento. Aunque el ENS solo exige el uso de una metodología de análisis de riesgos con reconocimiento internacional (sin citar ninguna en concreto), MAGERIT se ha desarrollado con el objetivo de facilitar su implantación.
Independientemente de la metodología utilizada, conviene remarcar que en la evaluación de los riesgos para los derechos y las libertades de las personas se impone un análisis desde el punto de vista de los interesados; es decir, hay que tener en cuenta que un riesgo que podría ser asumible desde el punto de vista de la organización puede tener un impacto muy elevado sobre una persona concreta.