La normativa en matèria de protecció de dades de caràcter personal estableix que per a la correcta protecció dels drets i llibertats de les persones, en relació amb el tractament de les seves dades de caràcter personal, és necessari que les entitats públiques adoptin una sèrie de mesures tècniques i organitzatives que tenen com a finalitat última garantir el compliment del que disposa la legislació vigent.

A l'antiga normativa s'establia una sèrie de nivells de seguretat (baix, mig o alt) i les diferents mesures establertes en aquests nivells s'havien d'aplicar en funció de les dades personals que es pretenia protegir.

En la nova normativa de protecció de dades això ja no és així. 

Ara s'ha de partir d'una anàlisi de risc inicial dels tractaments i, en funció del resultat que aporti aquesta anàlisi, s'han d'establir les mesures de seguretat.

Seguretat de les dades personals
Nova concepció de les mesures de seguretat

Anàlisi de riscos

Amb la finalitat de mantenir la seguretat i evitar que els tractaments de dades de caràcter personal incompleixin el que disposa la normativa, el responsable o l'encarregat del tractament ha d'avaluar els riscos inherents al tractament i aplicar una sèrie de mesures tècniques i organitzatives tendents a minimitzar l'impacte d'aquests riscos.

L'anàlisi de riscos no es troba definit expressament, ni en la normativa europea, ni en la normativa nacional. No obstant això, pot deduir-se, implícitament, del que s'estableix en relació amb la privacitat des del disseny i per defecte, que tindrem l'oportunitat de veure en un proper apartat.

Podem dir que l'anàlisi de riscos no és ni més ni menys que l'obligació, per als responsables del tractament, de dur a terme un examen o anàlisi que els permeti detectar els possibles riscos que assetgen els seus tractaments així com les mesures de caràcter tècnic i organitzatiu necessàries per anul·lar o minimitzar l'impacte que aquests riscos poden tenir en els seus tractaments.

Per tant, l'anàlisi de riscos ens permet detectar les mesures que un responsable del tractament ha d'aplicar perquè els seus tractaments siguin adequats en relació amb el que estableix la normativa de protecció de dades de caràcter personal.

Anàlisi de riscos
Anàlisi de riscos

Mesures de seguretat

Com ja hem comentat anteriorment, el nou Reglament Europeu de Protecció de Dades no estableix controls mínims d'obligat compliment, tal com succeïa amb l'anterior Llei Orgànica i el seu Reglament de Desenvolupament que establia una sèrie de nivells en funció de les categories de dades de caràcter personal objecte de protecció.

En el seu lloc, la nova normativa deriva la responsabilitat al responsable del tractament, que haurà de determinar i implementar aquelles mesures de seguretat que consideri necessàries per garantir la confidencialitat, la integritat i la disponibilitat de les dades de caràcter personal.

Tal com estableix el Reglament General de Protecció de dades:

Tenint en compte l'estat de la tècnica, els costos d'aplicació, i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i llibertats de les persones físiques, el responsable i l'encarregat del tractament aplicaran mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc, que en el seu cas inclogui, entre altres:

  • La seudonimització i el xifrat de dades personals.
  • La capacitat de garantir la confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
  • La capacitat de restaurar la disponibilitat i l'accés a les dades personals de forma ràpida en cas d'incident físic o tècnic.
  • Un procés de verificació, avaluació i valoracions regulars de l'eficàcia de les mesures tècniques i organitzatives per garantir la seguretat del tractament.

En aquest sentit, convé destacar el que estableix la normativa espanyola de protecció de dades de caràcter personal que estableix que l'Esquema Nacional de Seguretat inclourà les mesures que s'han d'implantar en cas de tractament de dades personals per evitar la seva pèrdua, alteració o accés no autoritzat, adaptant els criteris de determinació del risc en el tractament de les dades.

Vols accedir a l'Esquema Nacional de Seguretat?

Pots accedir a través del present enllaç: Esquema Nacional de Seguridad

Responsables del tractament que hauran d'aplicar les mesures de seguretat establertes a l'Esquema Nacional de Seguretat.

També aplicable als seus encarregats del tractament. 

  • Els òrgans constitucionals o amb rellevància constitucional i les institucions de les comunitats autònomes anàlogues als mateixos.
  • Els òrgans jurisdiccionals.
  • L'Administració General de l'Estat, les Administracions de les comunitats autònomes i les entitats que integren l'Administració Local.
  • Els organismes públics i entitats de Dret públic vinculades o dependents de les Administracions públiques.
  • Les autoritats administratives independents.
  • El Banc d'Espanya.
  • Les corporacions de Dret públic quan les finalitats del tractament es relacionin amb l'exercici de potestats de dret públic.
  • Les fundacions del sector públic.
  • Les Universitats Públiques.
  • Els consorcis.
  • Els grups parlamentaris de les Corts Generals i les Assemblees Legislatives autonòmiques, així com els grups polítics de les Corporacions Locals.

Comunicació de la violació de la seguretat de les dades

També coneguda com a fallada, la violació de la seguretat de les dades o, més bé, la seva notificació, és una part essencial de la normativa en matèria de protecció de dades de caràcter personal.

Què suposa la present acció?

Quan es produeixi una violació en la seguretat de les dades personals el responsable del tractament, és a dir, l'entitat pública que la pateixi, haurà de notificar-ho (sempre que existeixi risc per als drets i llibertats de les persones) tant a l'autoritat de control (Agencia Española de Protección de Datos y Homólogas Autonómicas) com a les persones físiques els dades personals de les quals s'hagin vist afectades per la fallada de seguretat.

En quant de temps l'hauran de comunicar? Amb la major brevetat possible i, en tot cas, en un termini màxim de 72 hores.

Comunicación de la violación de la seguridad de los datos
Contingut de la Comunicació
En relació amb la notificació caldrà tenir en compte les estipulacions contingudes a l'Esquema Nacional de Seguretat així com les Instruccions Tècniques que siguin d'aplicació a la violació de la seguretat de les dades.

Exclusions de la comunicació de la violació de seguretat de les dades als afectats.

  • Quan s'apliquin mesures sobre les dades personals afectades. En particular totes aquelles tècniques que facin inintel·ligibles les dades per a qualsevol persona que no estigui autoritzada al seu accés.
  • Quan el responsable adopti mesures posteriors que garanteixin que ja no existeix un alt risc per als drets i llibertats de les persones.
  • Quan la comunicació suposi un esforç desproporcionat i es prefereixi una comunicació pública o equivalent que permeti informar, de forma efectiva, els afectats.
Comunicación de la violación de la seguridad de los datos - 2
Notificació de les violacions de seguretat

Notificació per part dels encarregats del tractament

Quan un encarregat del tractament pateix una violació de seguretat, està obligat a notificar sense dilació indeguda, aquesta violació al responsable del tractament.

La norma és parca en aquest sentit i, per tant, cal entendre que, en el contracte d'encàrrec del tractament, serà el responsable qui haurà de fixar una obligació temporal de notificació de les violacions de seguretat patides per l'encarregat del tractament.

Només d'aquesta manera, el responsable del tractament podrà complir amb les obligacions establertes sobre el seu personal en la normativa de protecció de dades de caràcter personal.

 

Aprovecha lo que ya has aprendido y completa tu formación en el curso de Protección de datos en el ámbito sanitario

¿Te gusta el contenido de esta píldora de conocimiento?

No pierdas tu oportunidad y ¡continúa aprendiendo!

Este sitio utiliza cookies propias y de terceros con fines analíticos anónimos, para guardar tus preferencias y garantizar el correcto funcionamiento del sitio web.

Puedes aceptar todas las cookies, rechazarlas o configurarlas según tus preferencias utilizando los botones correspondientes.

Puedes obtener más información y volver a configurar tus preferencias en cualquier momento en la Política de cookies