Si la semana pasada os hablábamos de la importancia del análisis del riesgo y el registro de actividades y operaciones de tratamiento de datos, abordamos ahora otros cuatro aspectos relevantes de la seguridad en la protección y el cifrado de datos, que debes conocer.
Si quieres asegurarte de que cumples con el RGPD en tu empresa, toma nota de las cuatro medidas de responsabilidad activa que analizamos en este blog.
1. El diseño de la protección y el cifrado de datos en tu empresa
Antes de comenzar las operaciones de tratamiento de los datos y durante su desarrollo, el responsable deberá adoptar unas medidas que afectan al diseño del producto o servicio que implica dicho tratamiento. Deben tomarse dos tipos de medidas:
- Medidas organizativas y técnicas, como el cifrado de datos, para garantizar la aplicación de los preceptos del RGPD.
- Medidas que limiten el tratamiento sólo a la cantidad de datos, la duración del tratamiento y los periodos de conservación y accesibilidad necesarios.
Antes y durante las operaciones de tratamiento de los datos, el responsable deberá adoptar las medidas que afecten al diseño del producto o servicio que implica este tratamiento.
2. Las medidas de seguridad a adoptar
El nuevo Reglamento General de Protección de Datos deja en manos del encargado y responsable del tratamiento la adopción de las medidas de seguridad apropiadas, entre ellas el cifrado de datos. Estas variarán en cada caso, ya dependen de varios factores:
- Los riesgos detectados.
- El coste de la técnica y su aplicación.
- La naturaleza, alcance, contexto y finalidad del tratamiento.
- El riesgo para los derechos y libertades de los interesados.
Concretamente, el cifrado de datos y la seudonimización de los mismos es un aspecto de gran relevancia, al que más adelante dedicaremos un post específico en nuestro blog.
3. La notificación de brechas de seguridad de los datos
El RGPD considera “brechas de seguridad” a todo incidente que implique la “destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
En el caso de que tenga lugar una brecha o violación de la seguridad en tu empresa, el responsable del tratamiento de los datos deberá:
- Notificarla a la autoridad de protección de datos competente, excepto en aquellos casos en que la violación no suponga un riesgo para los derechos y libertades de los afectados.
- Notificarla, a ser posible en un plazo de 72 horas desde que se tenga constancia de ella, para que los afectados puedan tomar las medidas oportunas.
- Notificar la naturaleza de la violación, la categoría de datos e interesados afectados y las medidas adoptadas para solventar la violación y evitar los efectos adversos.
- Documentar todas las violaciones de seguridad.
- Informar a los interesados, en caso de que la violación entrañe un alto riesgo para sus derechos y libertades.
- Notificar a los interesados las medidas que pueden tomar para protegerse.
4. La evaluación del impacto sobre la protección de datos en tu empresa
En aquellos casos en los que el tratamiento de los datos pueda suponer un alto riesgo para los derechos y libertades de los interesados, el responsable deberá realizar una “Evaluación de Impacto sobre la Protección de Datos” (EIPD).
Si de dicha evaluación se deduce que el riesgo no puede ser mitigado por medios razonables desde el punto de vista tecnológico como el cifrado de datos, o de costes, el responsable deberá consultar el caso con la autoridad de protección de datos competente.
Relacionamos a continuación algunos de los supuestos que pueden implicar un alto riesgo:
- La elaboración de perfiles utilizados para tomar decisiones de carácter jurídico o similar.
- El tratamiento de datos sensibles a gran escala.
- La observación sistemática y a gran escala de una zona de acceso público.
- Otros casos previstos en las listas confeccionadas por la autoridad de protección de datos competente y aprobada por el Comité Europeo de Protección de Datos.