Las medidas de seguridad en el Reglamento general de protección de datos.

En estos días de incertidumbre es un lugar común afirmar poco menos que la evaporación del Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. En mi opinión se trata de una afirmación cuando menos temeraria, por cuanto el Reglamento general de protección de datos (GDPR) no diseña un sistema integral en esta materia y nada impide tomar como punto de partida la norma española e integrarla con las nuevas exigencias.

En este trabajo se examinan las novedades del GDPR proponiendo tanto una lectura integrada con la normativa vigente cómo posibilidades alternativas.  Esta materia viene regulada en los artículos 32 a 34 GDPR pero debe integrarse con otros ámbitos de la propia norma y se proyecta sobre opciones de softlaw como los estándares de seguridad y las certificaciones..

El objetivo y naturaleza de la seguridad.

Al igual que en el caso español el GDPR concibe la seguridad como un instrumento al servicio de la garantía de los derechos fundamentales.

(78) La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento.

Para cumplir con tales objetivos el GDPR impele a adoptar ciertas estrategias vinculadas a la idea de accountability, a saber:

▪ Adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. A título de ejemplo:

– Reducir al máximo el tratamiento de datos personales.

– Seudonimizar lo antes posible los datos personales.

– Dar transparencia a las funciones y el tratamiento de datos personales

– Potenciar desde el sector privado y la contratación pública aquellos servicios y productos que se alineen con el objetivo de accountability:

(78) (…) Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos. Los principios de la protección de datos desde el diseño y por defecto también deben tenerse en cuenta en el contexto de los contratos públicos.

Desde un punto de vista normativo el artículo 32 determina la obligación de adoptar medidas. No obstante define ciertas condiciones previas:

▪ Realizar un análisis de riesgos atendiendo a su probabilidad y gravedad.

▪ Evaluar e identificar el nivel de riesgo relacionado con el tratamiento teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento. Para ello:

  1. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

En este sentido la calificación de niveles de seguridad del artículo 81 RLOPD sigue siendo adecuado y puede usarse el párrafo segundo aquí citado como un elemento normativo adicional para la atribución del nivel. Esto puede darnos una mayor flexibilidad. Por ejemplo podríamos considerar que los datos de una tarjeta sean de nivel básico en un entorno de comercio electrónico, sin embargo el riesgo que presenta su exposición en un medio como internet nos podría conducir a un nivel medio o alto.

▪ Desplegar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Y a partir de aquí se nos ofrecen algunas a título de ejemplo:

  1. a) la seudonimización y el cifrado de datos personales;
  2. b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  3. c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  4. d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

▪ Entre las medidas se concede una especial importancia a las directrices que debe fijar el responsable.

  1. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

En este sentido, es necesario recordar la importancia que para estos procesos tiene sin duda una apuesta por la formación del personal.

Una lectura atenta de las medidas expuestas hasta aquí, y las que se examinarán posteriormente, muestra un elemento significativo: todas y cada una de ellas pueden incardinarse en las previsiones del Título VIII salvo la seudonimización. De hecho, y aunque algún pretendido experto afirmó la muerte de la auditoría sin ella no se entiende el concepto de « verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento», la función del delegado de protección de datos de supervisar «las auditorías correspondientes» o el deber del encargado de « permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable».

Continua en GDPR 2