Contacto
El Reglamento no establece un listado de las medidas de seguridad que se han aplicar de acuerdo con la tipología de datos objeto de tratamiento, sino que establece que el responsable y el encargado del tratamiento deben aplicar las medidas técnicas y organizativas adecuadas al riesgo que comporta el tratamiento. Ello implica que es preciso realizar una evaluación de los riesgos asociados a cada tratamiento, para determinar las medidas de seguridad que hay que implementar.
El Reglamento exige al responsable y al encargado del tratamiento que evalúen el nivel de riesgo para el tratamiento de datos que quieren llevar a cabo y, a partir de aquí, determinen las medidas de seguridad que se deben aplicar en cada caso.
Los riesgos se deben concretar y se deben decidir cuáles son las medidas más adecuadas.
Es preciso:
- Determinar el contexto en el cual se efectúan las actividades de tratamiento.
- Identificar las situaciones de riesgo.
- Analizar los riesgos.
- Evaluarlos.
- Tratarlos mediante medidas que minimicen la probabilidad y la gravedad derivadas de las operaciones de tratamiento.
- Revisar los riesgos.
Es necesario escoger el modelo de buenas prácticas en seguridad de la información que se utilizará para concretar las medidas a implantar.
En el caso del sector público, la disposición adicional primera de la LOPDGDD establece lo siguiente: "el Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos de carácter personal, para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679."