La normativa en materia de protección de datos de carácter personal establece que para la correcta protección de los derechos y libertades de las personas, en relación con el tratamiento de sus datos de carácter personal, es necesario que las entidades públicas adopten una serie de medidas técnicas y organizativas que tienen como finalidad última garantizar el cumplimiento de lo dispuesto en la legislación vigente.
En la antigua normativa se establecida una serie de niveles de seguridad (bajo, medio o alto) y las diferentes medidas establecida en dichos niveles se debían aplicar en función de los datos personales que se pretendía proteger.
En la nueva normativa de protección de datos esto ya no es así.
Ahora se debe partir de un análisis de riesgo inicial de los tratamientos y, en función del resultado que arroje dicho análisis, se deberán establecer las medidas de seguridad.
Con la finalidad de mantener la seguridad y evitar que los tratamientos de datos de carácter personal infrinjan lo dispuesto en la normativa, el responsable o el encargado del tratamiento debe evaluar los riesgos inherentes al tratamiento y aplicar una serie de medidas técnicas y organizativas tendentes a minimizar el impacto de dichos riesgos.
Dichas medidas deben garantizar un adecuado nivel de seguridad teniendo en cuenta el estado de la técnica y el coste de su aplicación, con relación a los riesgos y a la naturaleza de los datos de carácter personal que deben ser protegidos.
El análisis de riesgos no se encuentra definido expresamente, ni en la normativa europea, ni en la normativa nacional. No obstante, puede deducirse, implícitamente, de lo establecido en relación con la privacidad desde el diseño y por defecto, que tendremos oportunidad de ver en un próximo apartado.
Podemos decir que el análisis de riesgos no es ni más ni menos que la obligación, para los responsables del tratamiento, de llevar a cabo un examen o análisis que les permitan detectar los posibles riesgos que acechan a sus tratamientos así como las medidas de carácter técnico y organizativo necesarias para anular o minimizar el impacto que dichos riesgos pueden tener en sus tratamientos.
Por tanto, el análisis de riesgos nos permite detectar las medidas que un responsable del tratamiento debe aplicar para que sus tratamientos sean adecuados con relación a lo establecido en la normativa de protección de datos de carácter personal.
Como ya hemos comentado anteriormente, el nuevo Reglamento Europeo de Protección de Datos no establece unos controles mínimos de obligado cumplimiento, tal y como sucedía con la anterior Ley Orgánica y su Reglamento de Desarrollo que establecía una serie de niveles en función de las categorías de datos de carácter personal objeto de protección.
En su lugar, la nueva normativa deriva la responsabilidad en el responsable del tratamiento, quien deberá determinar e implementar aquellas medidas de seguridad que considere necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de carácter personal.
Tal y como establece el Reglamento General de Protección de datos:
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
En este sentido, interesa destacar lo establecido por la normativa española de protección de datos de carácter personal que establece que el Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos.
¿Quieres acceder al Esquema Nacional de Seguridad?
Puedes acceder a través del presente enlace: Esquema Nacional de Seguridad
Responsables del tratamiento que deberán aplicar las medidas de seguridad establecidas en el Esquema Nacional de Seguridad.
También aplicable a sus encargados del tratamiento.
También conocida como quiebra, la violación de la seguridad de los datos o, mejor dicho, su notificación, es una parte esencial de la normativa en materia de protección de datos de carácter personal.
¿Qué supone la presente acción?
Cuando se produzca una violación en la seguridad de los datos personales el responsable del tratamiento, es decir, la entidad pública que la sufra, deberá notificarlo (siempre que exista riesgo para los derechos y libertades de las personas) tanto a la autoridad de control (Agencia Española de Protección de Datos y Homólogas Autonómicas) como a las personas físicas cuyos datos personales se hayan visto afectados por la quiebra de seguridad.
¿En cuánto tiempo deberán comunicarlo? Con la mayor brevedad posible y, en todo caso, en un plazo máximo de 72 horas.
Excepciones a la comunicación de la violación de seguridad de los datos a los afectados.
Notificación por parte de los encargados del tratamiento
Cuando un encargado del tratamiento sufre una violación de seguridad, se encuentra en la obligación de notificar sin dilación indebida, dicha violación al responsable del tratamiento.
La norma es parca en este sentido y, por tanto, debemos entender que, en el contrato de encargo del tratamiento, será el responsable quien deba fijar una obligación temporal de notificación de las violaciones de seguridad sufridas por el encargado del tratamiento.
Solo de esta forma, el responsable del tratamiento podrá cumplir con las obligaciones establecidas sobre su personal en la normativa de protección de datos de carácter personal.
Esta píldora formativa está extraída del Curso online de Protección de datos en el ámbito sanitario.
No pierdas tu oportunidad y ¡continúa aprendiendo!
Política de privacidad
ADR Formación utiliza cookies propias y de terceros para fines analíticos anónimos, guardar las preferencias que selecciones y para el funcionamiento general de la página.
Puedes aceptar todas las cookies pulsando el botón "Aceptar" o configurarlas o rechazar su uso pulsando el botón "Configurar".
Puedes obtener más información y volver a configurar tus preferencias en cualquier momento en la Política de cookies