Con el reglamento de desarrollo de la LOPD (RD1720/2007) se establecían medidas específicas a aplicar según el nivel de datos tratados. El RGPD no detalla de forma exhaustiva las medidas y establece que los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en un análisis previo; además, deberán estar en condiciones de demostrar la aplicación de dichas medidas (responsabilidad activa).
Estas medidas técnicas y organizativas deberán establecerse teniendo en cuenta:
– El coste de la técnica
– Los costes de aplicación
– La naturaleza, el alcance, el contexto y los fines de tratamiento
– Los riesgos para los derechos y libertades
En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el reglamento de la LOPD si los resultados del análisis de riesgo previo concluyen que las medidas son las más adecuadas.
A modo de ejemplo, estas pueden ser algunas medidas:
– Seudonimización y cifrado de datos personales.
– Capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
– Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia.
– Verificación y evaluación periódica de la eficacia de las medidas aplicadas.
La adhesión a un código de conducta o a un mecanismo de certificación puede ser de utilidad para demostrar el cumplimiento de estos requisitos.
ANALISIS DE RIESGOS
Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y como deben hacerlo. El tipo de análisis variará en función del tipo de tratamientos, la naturaleza de los datos, el número de interesados afectados y la cantidad y variedad de tratamientos que se lleven a cabo.
Podemos establecer dos tipologías de análisis según el tamaño/complejidad de los responsables:
– Grandes organizaciones: como regla general, en estos casos el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
– Organizaciones pequeñas con tratamientos de poca complejidad: el análisis será resultado de una reflexión documentada sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. Se analizarán cuestiones como las siguientes y cuantas más respuestas afirmativas, mayor será el riesgo que podría derivarse de dicho tratamiento. Estas podrían ser algunas cuestiones:
¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluye el tratamiento elaboración de perfiles?
¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, video vigilancia a gran escala o ciertas aplicaciones del internet de las cosas?
Si la respuesta a estas preguntas es negativa se podría concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no deben poner en marcha las medidas previstas para estos casos como las evaluaciones de impacto (EIPD).
EVALUACIONES DE IMPACTO
Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
Estos son algunos supuestos en que se considera que los tratamientos conllevan un alto riesgo:
– Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
– Tratamientos a gran escala de datos sensibles.
– Observación sistemática a gran escala de una zona de acceso público.
Las autoridades de protección de datos están obligadas a confeccionar listas adicionales de tratamiento que requerirán una EIPD así como listas que especificas en que no se requiera la EIPD.
Es posible realizar una única EIPD para varios tratamientos similares que entrañen altos riesgos similares.
Para valorar si un tratamiento se realiza a gran escala debe tenerse en cuenta:
– El número de interesados afectados, bien en términos absolutos, bien como proporción de una determinada población.
– El volumen de datos y la variedad de datos tratados.
– La duración o permanencia de la actividad de tratamiento.
– La extensión geográfica de la actividad de tratamiento.
El RGPD establece un contenido mínimo de las EIPD aunque no contempla ninguna metodología específica para su realización (la AEPD publicó la semana pasada dos guias prácticas para el análisis de riesgos y las evaluaciones de impacto).
PROTECCION DE DATOS DESDE EL DISEÑO Y POR DEFECTO
Este tipo de medidas reflejan muy directamente el enfoque de responsabilidad proactiva. Se trata de pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, un producto o servicio que implica el tratamiento de datos personales.
Desde el diseño
Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD.
Se aplicarán estas medidas en el momento en que se decide la necesidad de recabar datos y durante todo el proceso de tratamiento (p.ej. seudonimización) e irán en función del riesgo para los derechos y libertades de los interesados.
Por defecto
Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad de los datos.
Medidas técnicas y organizativas apropiadas con miras a garantizar que solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos (p.ej. minimización).