¿Y qué pasa con las medidas de seguridad en el RGPD?

En la redacción del Reglamento no esperéis encontrar un listado descriptivo de medidas de seguridad a aplicar en base a la clasificación del tipo de dato tratado, tal y como ocurría en el título VIII del Reglamento de la LOPD, precisamente porque se trata de un Reglamento que fomenta la "proactividad" del responsable en el cumplimiento, deja total libertad en la aplicación de las necesarias medidas de seguridad siempre que se garantice un nivel de seguridad adecuado al riesgo y de igual manera se podría justificar debido a que los riesgos cambian con el tiempo y no parece apropiado que una norma con vocación de largo plazo, se limite a una situación actual.

 

Por lo tanto lo primero será determinar los niveles de riesgo a que se enfrenta el tratamiento de datos personales para, a continuación, aplicar las necesarias medidas que lo eliminen o mitiguen suficientemente.

 

Y ¿cuáles serían los riesgos?, pues tampoco se han “matao”: riesgos derivados del tratamiento que sean susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales como:

  • La destrucción
  • Pérdida o alteración accidental o ilícita de los datos personales en la transmisión, conservación o tratamiento
  • La comunicación o accesos no autorizados a los datos

 

La única pista que da el nuevo Reglamento respecto de las medidas de seguridad es la aplicación de la seudoanonimización, el cifrado y las garantías de confidencialidad, integridad, disponibilidad y resiliencia, que comentaremos a continuación y los procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, que dicho de otra manera son las auditorías de toda la vida.

  • La confidencialidad se refiere a la protección de información sensible de accesos no autorizados y que la vamos a conseguir mediante los controles de acceso establecidos por el responsable
  • La integridad está relacionada con la exactitud y completitud de la información, así como a su validez. Para que lo entendamos mejor consiste en hacer que la información y los datos que maneja una organización sean fiables y de confianza
  • La disponibilidad busca que la información esté accesible cuando sea precisa por los procesos o usuarios de los sistemas de información para lo que la referenciaremos también a la protección de los recursos, infraestructuras que sustentan dicha información y que posibiliten la continuidad de la actividad en caso de fallo
  • Por último la Resiliencia es la capacidad de la organización de soportar y recuperarse ante desastres y perturbaciones, lo que implica un aprendizaje continuo de situaciones críticas que posibiliten una recuperación de las mismas en condiciones reforzadas.

 

 

 

 

Por lo tanto y salvo que con posterioridad a este post la nueva LOPD que se está cocinando en estos momentos especifique, yo recomendaría partir de unas garantías mínimas como las que detallaba el  título VIII del Reglamento de la LOPD para, añadir o  completar con otras que mejoren la seguridad de los datos.