TODO LO QUE HA CAMBIADO EN LA PROTECCIÓN DE DATOS (II)
12 Jun

TODO LO QUE HA CAMBIADO EN LA PROTECCIÓN DE DATOS (II)

0 Comentarios

Desde el viernes 25 de mayo, todas las empresas y organizaciones, públicas o privadas, tendrán que aplicar el nuevo Reglamento General de Protección de Datos (RGPD), ya que no existe ningún periodo transitorio o de gracia adicional. Esta norma europea, que unifica las diferentes leyes nacionales que había hasta el momento, mantiene parte de la normativa que estaba en vigor, pero contiene obligaciones que no existían hasta la fecha. También se aplicará una nueva Ley de Protección de Datos, cuya reforma está en tramitación, que especificará y complementará ciertas partes del RGPD, pero sin modificarlo.

En esta serie de artículos, basados en el publicado por EXPANSIÓN, se detallan las 20 claves del Reglamento y del nuevo escenario, elaboración que ha contado con contenidos de Apuntes & Consejos de Indicator y de RSM Spain

En esta segunda entrega de la serie trataremos:

  • Autoridades de supervisión
  • Seguridad
  • Análisis de riesgos
  1.  Autoridades de supervisión

Aunque estos cambios normativos derivan de una normativa de ámbito europeo, el organismo encargado de velar por el cumplimiento del RGPD y de la nueva LOPD seguirá siendo la Agencia Española de Protección de Datos. En este sentido, la AEPD ha creado una sección específica en su página web donde publica todo tipo de información de interés sobre el RGPD. Puede acceder a ella a través del siguiente enlace:  https://www.aepd.es/reglamento/

  1. Seguridad

La normativa vigente hasta ahora establecía con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. En cambio, con el nuevo RGPD, tanto el responsable como el encargado del tratamiento siguen estando obligados a adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, según los riesgos que se hayan detectado al realizar el análisis previo. Sin embargo, el nuevo RGPD no especifica qué medidas de seguridad concretas hay que aplicar en cada caso, si- no que éstas se deben determinar por el responsable o por el encargado según diversas variables: el estado de la técnica, los riesgos que existan para los derechos y libertades de los interesados, la naturaleza, el alcance, el contexto y los fines del tratamiento y los costes de aplicar las medidas. No obstante, la propia AEPD ha señalado que, en algunos casos, se pueden seguir aplicando las mismas medidas de seguridad que establece la normativa hasta ahora vigente si del análisis de riesgos se concluye que dichas medidas son idóneas para ofrecer un nivel de seguridad adecuado (en caso contrario, será necesario completar dichas medidas o prescindir de alguna de ellas). 

  1. Niveles de seguridad. - En muchos casos se pueden seguir aplicando las mismas medidas de seguridad que establecía el Reglamento de Desarrollo de la LOPD si éstas ya ofrecen un nivel adecuado de seguridad. Por tanto, cabe recordar que dicha norma establece tres niveles de seguridad (básico, medio y alto), dependiendo de la naturaleza de los datos personales tratados. Estos niveles de seguridad son acumulativos. Por tanto, los ficheros o tratamientos de datos de carácter personal de nivel básico sólo deben adoptar las medidas de seguridad de nivel básico. Los ficheros y tratamientos de datos de nivel medio deben adoptar tanto las medidas de seguridad de nivel básico como las de nivel medio.  Los ficheros y tratamientos de datos de nivel alto deben aplicar las medidas previstas en los niveles básico, medio y alto. 
  2. Nivel alto. - Son ficheros o tratamientos de nivel alto, entre otros, los que se refieren a datos de ideología, afiliación sindi- cal, religión, creencias, origen racial, salud o vida sexual. Una de las medidas de seguridad que se debe implantar en estos ficheros de nivel alto (si son automatizados) es, por ejemplo, la del registro de accesos, de manera que quede registrado el usuario que ha intentado acceder al fichero, la hora, el fichero, el tipo de acceso y si dicho acceso ha sido autorizado o denegado. 
  3. Nivel medio. - Son ficheros o tratamientos de nivel  medio, entre otros, aquellos relativos  a la prestación de servicios de solvencia patrimonial y créditos, aquellos de los que sean responsables entidades financieras para las finalidades relacionadas con la prestación  de servicios financieros y aquellos  que contengan un conjunto de datos  que ofrezcan una definición de las  características o de la personalidad y  que permitan evaluar determinados  aspectos de la personalidad o del  comportamiento de las personas.  Una de las medidas que se debe implantar para estos ficheros o tratamientos de datos de nivel medio es la realización de una auditoría (interna o externa) cada dos años a fin de verificar que se cumplen las medidas de seguridad que exige la normativa de protección de datos. 
  4. Nivel básico. - Es un fichero o tratamiento de datos básico cualquier otro fichero distinto a los indicados que contenga datos de carácter personal. Una de las medidas de seguridad de nivel básico (y que, por tanto, debe implantarse en todo tipo de ficheros automatizados) es que se establezca un procedimiento de asignación y distribución de contraseñas y que las contraseñas se cambien, al menos, una vez al año.  También se consideran de nivel básico los ficheros o tratamientos que contienen datos de nivel medio o alto sólo de forma accidental o accesoria, pero sin guardar relación con su finalidad. Por ejemplo, un hotel dispone de los datos de alergias alimentarias de un cliente. Éste es un dato de nivel alto por referirse a la salud, pero está en el fichero de forma incidental, pues la finalidad de dicho fichero es el hospedaje. 
  5. El documento de seguridad. - Aunque el nuevo RGPD no exige expresamente que se confeccione un documento de seguridad, es aconsejable que se haga, en los mismos términos que exigía la normativa anterior.  En este sentido, el documento de seguridad es un documento interno que debe mantenerse actualizado en todo momento y exhibirse en ca- so de inspección por parte de la AEPD. También debe demostrarse que se está aplicando de forma efectiva. Las menciones mínimas del documento de seguridad son las siguientes: ámbito de aplicación, especificando de forma detallada los recursos protegidos (servidores, ordenadores, tabletas, discos duros externos u otros elementos de almacenaje  con datos de carácter personal); medidas, normas, procedimientos de  actuación, reglas y estándares para  garantizar el nivel de seguridad exigido; funciones y obligaciones del  personal en relación con el tratamiento de los datos de carácter personal; estructura de los ficheros y  descripción de los sistemas de información que los tratan; procedimiento de notificación, gestión y respuesta ante incidencias; procedimientos  de realización de copias de respaldo  y de recuperación de datos en los ficheros o tratamientos automatiza- dos. Respecto a las medidas adopta- das para el transporte, la destrucción y/o la reutilización de soportes y documentos, cuando se trate de fiche- ros o tratamientos de datos de nivel medio o alto, en el documento de seguridad se debe incluir, además de los apartados anteriores, la identificación del responsable de seguridad y la obligación de realizar una auditoría bianual para verificar la correcta cumplimentación de las medidas de seguridad. 
  1. Análisis de riesgos 

Un programa estándar ya no sirve para asegurarse el cumplimiento.  En el caso del tratamiento de informaciones especialmente sensibles es necesario llevar a cabo un análisis de riesgos, así como una evaluación del impacto. La AEPD ha publicado una lista de verificación que permitirá valorar la situación de la empresa. Se estructura como un listado de preguntas que cada organización deberá hacerse y responder adecuada- mente para así determinar cuál es su grado de cumplimiento. 

  1. La herramienta de la AEPD. - La AEPD dispone de una herramienta que a través de preguntas muy concretas permite valorar su situación respecto del tratamiento de datos personales que lleva a cabo. En caso de confirmar que se encuentra en un nivel bajo de riesgo, la herramienta genera diversos documentos adaptados a su empresa para que cumpla las obligaciones que establece el RGPD (cláusulas informativas, contractuales...).

 https://www.servicios.agpd.es/Facilita/

El uso de la herramienta es anónimo, y la AEPD no identifica a quienes la usan. Ni el uso de esta herramienta ni la obtención de los documentos resultantes implican el cumplimiento automático del RGPD (de hecho, estas herramientas no resultan útiles para empresas que tratan datos de riesgo).Esta herramienta toma en cuenta hasta tres factores de riesgo. En primer lugar, si la empresa pertenece a sanidad, solvencia patrimonial y crédito, generación y uso de perfiles, actividades políticas, sindicales y religiosas, servicios de telecomunicaciones, seguros, entidades bancarias y financieras, actividades de servicios sociales, publicidad y videovigilancia masiva. Un segundo factor es tratar datos que revelen origen étnico o racial; datos de opiniones políticas o religión; datos de afiliación sindical (excepto cuotas sindicales); datos genéticos; datos biométricos dirigidos a identificar de manera unívoca a una persona; datos de salud física o mental; datos relativos a la vida sexual o a la orientación sexual; da- tos relativos a condenas o infracciones penales, y geolocalización. Entercer lugar, se sitúa el factor de riesgo de que la empresa haga o analiceperfiles; publicidad y prospeccióncomercial masiva a potencialesclientes; prestación de servicios deexplotación de redes públicas o ser- vicios de comunicaciones electrónicas; gestionar los asociados o miembros de partidos políticos, sindicatos,iglesias, confesiones o comunidadesreligiosas, fundaciones y otras entidades sin ánimo de lucro cuya finalidad sea política, filosófica, religiosa osindical; gestión, control sanitario oventa de medicamentos e historial clínico o sanitario.

Fuente: Diario Expansión

Autor: Mercedes Serraller