Mesures de seguretat i RGPD.


Amb el reglament de desenvolupament de la LOPD (RD1720/2007) s’establien mesures específiques a aplicar segons el nivell de dades tractades. El RGPD no detalla de forma exhaustiva les mesures i estableix que els responsables i encarregats establiran les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat en funció dels riscos detectats en una anàlisis prèvia; a més, hauran d’estar en condicions de demostrar l’aplicació de les mateixes (responsabilitat activa).

Aquestes mesures tècniques i organitzatives hauran d’establir-se tenint en compte:

– El cost de la tècnica
– Els costos d’aplicació
– La naturalesa, l’abast, el context i les finalitats de tractament
– Els riscos per els drets i llibertats

En alguns casos els responsables podran seguir aplicant les mateixes mesures que estableix el reglament de la LOPD si els resultats de la anàlisis de risc previ conclouen que les mesures són les adequades.

A mode d’exemple, aquestes poden ser algunes mesures:

– Seudonimització i xifrat de dades personals.
– Capacitat de garantir confidencialitat, integritat, disponibilitat i resiliència permanents dels sistemes i serveis de tractament.
– Capacitat de restaurar la disponibilitat i l’accés a les dades personals de forma ràpida en cas d’incidència.
– Verificació i avaluació periòdica de l’eficàcia de les mesures aplicades.

L’adhesió a un codi de conducta o a un mecanisme de certificació pot ser de utilitat per a demostrar el compliment d’aquests requisits.

ANALISIS DE RISCOS
Tots els responsables hauran de realitzar una valoració del risc dels tractaments que realitzin, a fi de poder establir quines mesures hauran d’aplicar i com ho hauran de fer. El tipus d’anàlisis variarà en funció del tipus de tractament, la naturalesa de les dades, el número de interessats afectats i la quantitat i varietat de tractaments que es portin a terme.
Podem establir dues tipologies d’anàlisis segons la mida/complexitat dels responsables:

– Grans organitzacions: com a regla general, en aquests casos l’anàlisis haurà de portar-se a terme utilitzant alguna de les metodologies d’anàlisis de riscos existents.

– Organitzacions petites amb tractaments de poca complexitat: l’anàlisis serà resultat d’una reflexió documentada sobre les implicacions dels tractaments en els drets i llibertats dels interessats. S’analitzaran qüestions com les següents i quantes més respostes afirmatives, major serà el risc que podria derivar-se d’aquest tractament.

Aquestes podrien ser algunes qüestions:

– Es tracten dades sensibles?
– S’inclouen dades d’una gran quantitat de persones?
– Inclou el tractament elaboració de perfils?
– Es creuen les dades obtingudes dels interessats amb altres disponibles en altres fonts?
– Es pretén utilitzar les dades obtingudes per una finalitat per altres tipus de finalitats?
– S’estan tractant grans quantitats de dades, inclòs amb tècniques d’anàlisi massiu tipus big data?
– S’utilitzen tecnologies especialment invasives per a la privacitat, com les relatives a GEO localització, vídeo vigilància a gran escala o certes aplicacions de la internet de les coses?

Si la resposta a aquestes preguntes es negativa es podria concloure que la organització no realitza tractaments que generin un elevat nivell de risc i que, per tant, no han de posar en marxa mesures previstes per aquests casos com les avaluacions d’impacte (EIPD).

AVALUACIONS DE IMPACTE
Els responsables de tractament hauran de realitzar una Avaluació d’Impacte sobre la Protecció de Dades (EIPD) amb caràcter prèvia a la posada en marxa d’aquells tractaments que sigui probable que comportin un alt risc per els drets i llibertats dels interessats.

Aquests són alguns supòsits en que es considera que els tractaments comporten un alt risc:

– Elaboració de perfils sobre la base del qual es prenen decisions que produeixen efectes jurídics sobre els interessats o que els afecten significativament de modus similar.
– Tractaments a gran escala de dades sensibles.
– Observació sistemàtica a gran escala d’una zona d’accés públic.

Les autoritats de protecció de dades estan obligades a confeccionar llistes addicionals de tractament que requeriran una EIPD així com llistes especifiques en que no es requerira l’ EIPD.
És possible realitzar una única EIPD per varis tractaments similars que comportin alts riscos similars.

Per a valorar si un tractament es realitza a gran escala s’ha de tenir en compte:

– El número d’interessats afectats, en termes absoluts, o com a proporció d’una determinada població.
– El volum de dades i la varietat de dades tractades.
– La durada o permanència de l’activitat de tractament.
– L’extensió geogràfica de l’activitat de tractament.

El RGPD estableix un contingut mínim de les EIPD encara que no contempli cap metodologia específica per a la seva realització (l’AEPD va publicar la setmana passada dues guies pràctiques sobre els anàlisis de riscos i les evaluacion d’impacte).

PROTECCIO DE DADES DES DEL DISSENY I PER DEFECTE
Aquest tipus de mesures reflecteixen molt directament l’enfoc de responsabilitat proactiva. Es tracta de pensar en termes de protecció de dades des del mateix moment en que es dissenya un tractament, un producte o servei que implica el tractament de dades personals.

Des del disseny
Des de l’inici, els responsables han d’establir mesures organitzatives i tècniques per a integrar en  els tractaments garanties que permetin aplicar de forma efectiva els principis del RGPD.
S’aplicaran aquestes mesures en el moment  en que es decideix la necessitat de recavar dades i durant tot el procés de tractament (p. ex. seudonimització) i aniran en funció del risc per als drets i llibertats dels interessats.

Per defecte
Els responsables han d’adoptar mesures que garanteixin que solament es tractin les dades necessàries relatives a la quantitat de dades tractades, l’extensió del tractament, els períodes de conservació i  l’accessibilitat de les dades.
Mesures tècniques i organitzatives apropiades per garantir que solament siguin objecte de tractament les dades personals que siguin necessàries per a cadascuna de les finalitats específiques  (p. ex. minimització).