La normativa en matèria de protecció de dades de caràcter personal estableix que per a la correcta protecció dels drets i llibertats de les persones, en relació amb el tractament de les seves dades de caràcter personal, és necessari que les entitats públiques adoptin una sèrie de mesures tècniques i organitzatives que tenen com a finalitat última garantir el compliment del que disposa la legislació vigent.
A l'antiga normativa s'establia una sèrie de nivells de seguretat (baix, mig o alt) i les diferents mesures establertes en aquests nivells s'havien d'aplicar en funció de les dades personals que es pretenia protegir.
En la nova normativa de protecció de dades això ja no és així.
Ara s'ha de partir d'una anàlisi de risc inicial dels tractaments i, en funció del resultat que aporti aquesta anàlisi, s'han d'establir les mesures de seguretat.
Amb la finalitat de mantenir la seguretat i evitar que els tractaments de dades de caràcter personal incompleixin el que disposa la normativa, el responsable o l'encarregat del tractament ha d'avaluar els riscos inherents al tractament i aplicar una sèrie de mesures tècniques i organitzatives tendents a minimitzar l'impacte d'aquests riscos.
L'anàlisi de riscos no es troba definit expressament, ni en la normativa europea, ni en la normativa nacional. No obstant això, pot deduir-se, implícitament, del que s'estableix en relació amb la privacitat des del disseny i per defecte, que tindrem l'oportunitat de veure en un proper apartat.
Podem dir que l'anàlisi de riscos no és ni més ni menys que l'obligació, per als responsables del tractament, de dur a terme un examen o anàlisi que els permeti detectar els possibles riscos que assetgen els seus tractaments així com les mesures de caràcter tècnic i organitzatiu necessàries per anul·lar o minimitzar l'impacte que aquests riscos poden tenir en els seus tractaments.
Per tant, l'anàlisi de riscos ens permet detectar les mesures que un responsable del tractament ha d'aplicar perquè els seus tractaments siguin adequats en relació amb el que estableix la normativa de protecció de dades de caràcter personal.
Com ja hem comentat anteriorment, el nou Reglament Europeu de Protecció de Dades no estableix controls mínims d'obligat compliment, tal com succeïa amb l'anterior Llei Orgànica i el seu Reglament de Desenvolupament que establia una sèrie de nivells en funció de les categories de dades de caràcter personal objecte de protecció.
En el seu lloc, la nova normativa deriva la responsabilitat al responsable del tractament, que haurà de determinar i implementar aquelles mesures de seguretat que consideri necessàries per garantir la confidencialitat, la integritat i la disponibilitat de les dades de caràcter personal.
Tal com estableix el Reglament General de Protecció de dades:
Tenint en compte l'estat de la tècnica, els costos d'aplicació, i la naturalesa, l'abast, el context i les finalitats del tractament, així com els riscos de probabilitat i gravetat variables per als drets i llibertats de les persones físiques, el responsable i l'encarregat del tractament aplicaran mesures tècniques i organitzatives adequades per garantir un nivell de seguretat adequat al risc, que en el seu cas inclogui, entre altres:
En aquest sentit, convé destacar el que estableix la normativa espanyola de protecció de dades de caràcter personal que estableix que l'Esquema Nacional de Seguretat inclourà les mesures que s'han d'implantar en cas de tractament de dades personals per evitar la seva pèrdua, alteració o accés no autoritzat, adaptant els criteris de determinació del risc en el tractament de les dades.
Vols accedir a l'Esquema Nacional de Seguretat?
Pots accedir a través del present enllaç: Esquema Nacional de Seguridad
Responsables del tractament que hauran d'aplicar les mesures de seguretat establertes a l'Esquema Nacional de Seguretat.
També aplicable als seus encarregats del tractament.
També coneguda com a fallada, la violació de la seguretat de les dades o, més bé, la seva notificació, és una part essencial de la normativa en matèria de protecció de dades de caràcter personal.
Què suposa la present acció?
Quan es produeixi una violació en la seguretat de les dades personals el responsable del tractament, és a dir, l'entitat pública que la pateixi, haurà de notificar-ho (sempre que existeixi risc per als drets i llibertats de les persones) tant a l'autoritat de control (Agencia Española de Protección de Datos y Homólogas Autonómicas) com a les persones físiques els dades personals de les quals s'hagin vist afectades per la fallada de seguretat.
En quant de temps l'hauran de comunicar? Amb la major brevetat possible i, en tot cas, en un termini màxim de 72 hores.
Exclusions de la comunicació de la violació de seguretat de les dades als afectats.
Notificació per part dels encarregats del tractament
Quan un encarregat del tractament pateix una violació de seguretat, està obligat a notificar sense dilació indeguda, aquesta violació al responsable del tractament.
La norma és parca en aquest sentit i, per tant, cal entendre que, en el contracte d'encàrrec del tractament, serà el responsable qui haurà de fixar una obligació temporal de notificació de les violacions de seguretat patides per l'encarregat del tractament.
Només d'aquesta manera, el responsable del tractament podrà complir amb les obligacions establertes sobre el seu personal en la normativa de protecció de dades de caràcter personal.
Aprovecha lo que ya has aprendido y completa tu formación en el curso de Protección de datos en el ámbito sanitario
Este sitio utiliza cookies propias y de terceros con fines analíticos anónimos, para guardar tus preferencias y garantizar el correcto funcionamiento del sitio web.
Puedes aceptar todas las cookies, rechazarlas o configurarlas según tus preferencias utilizando los botones correspondientes.
Puedes obtener más información y volver a configurar tus preferencias en cualquier momento en la Política de cookies