Читать книгу Derecho digital - José F. Estévez - Страница 17

En este aspecto, el RGPD ya no incluye una lista de medidas de seguridad que deberán adoptar los Responsables en función de la categorización de los datos. De este modo, es el Responsable quien debe valorar en función del tipo de datos y tratamientos realizados cuales son las medidas organizativas y técnicas apropiadas para la protección de los datos. Ahora bien, el RGPD si enumera una serie de posibles medidas de seguridad. Así, el artículo 32 establece lo siguiente:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo , que en su caso incluya, entre otros:

a) la seudonimización y el cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.”

La Agencia Española de Protección de Datos ya ha puesto de manifiesto que no es suficiente mantener las medidas que se venían aplicando en virtud del Reglamento de Desarrollo de la LOPD. Si bien es cierto que dichas medidas pueden ser suficientes, será necesario llevar a cabo un análisis para identificar los riesgos a los que pueden estar sometidos los datos que se tratan, así como una evaluación de las medidas apropiadas para mitigar los mismos.

Considera también conveniente que se realicen auditorías o controles periódicos de las medidas implantadas para comprobar su efectividad o la necesidad de su modificación y adaptación.

En este sentido, la AEPD manifestó en su 9ª Sesión Anual Abierta celebrada el 25 de mayo de 2017, que la actual división en tres niveles de seguridad establecida por el RGPD no servirá para dar cumplimiento al artículo 24.1 del RGPD ya que aquél atiende únicamente a la tipología del responsable o de los datos tratados, pero no atiende a los riesgos concretos que pueden afectar a los derechos de las personas ni tiene en cuenta (salvo alguna excepción, como la referida a los datos especialmente protegidos) los riesgos potenciales a los que se refiere el RGPD.