Tratamientos para la Protección de Datos de Carácter Personal según el nuevo RGPD

Protección de Datos de Carácter Personal

El trabajo se corresponde con el planteamiento de Máster de Ciberseguridad de la asignatura de Legislación y donde se plantea qué medidas de cumplimiento normativo se aplicarán a los tratamientos de protección de datos.

El nuevo Reglamento establece el principio de responsabilidad proactiva (accountability) que obliga a las organizaciones que procesen datos de carácter personal a demostrar y garantizar que los tratamientos que lleven a cabo son conformes con la norma mediante la aplicación de medidas técnicas y organizativas apropiadas desde una actitud consciente, diligente y proactiva.

Y según apunta el artículo 24.1 del RGPD, corresponderá al responsable del tratamiento demostrar y garantizar que dicho tratamiento es conforme.

Además del responsable,en determinadas ocasiones, también corresponderá a los encargados la obligatoriedad de implantar un sistema interno de cumplimiento en materia de protección de datos que estará integrado por políticas y procesos internos. Estos deberán ser revisados, actualizados cuando sea necesario y periódicamente auditados de forma que permitan demostrar su cumplimiento.

Entre las medidas, aunque no las únicas y que permiten materializar este principio se indican las siguientes:

1. Registro de actividades de tratamiento. 

Corresponderá de forma interna a la organización la obligación de realizar el inventario de los tratamientos de datos de carácter personal, incluyendo entre información básica:

 - El nombre y datos de contacto del responsable del tratamiento,

 - El nombre y datos del Delegado de Protección de Datos en caso de haber sido aprobado este nombramiento.

 - La finalidad del tratamiento.

 - La descripción de categorías del interesado,

 - La descripción de categorías de datos tratados,

 - Las transferencias internacionales de datos.

1. Medidas de protección de datos desde el diseño y por defecto.

Es necesario la inclusión de medidas de privacidad a lo largo de las distintas fases del ciclo de vida de desarrollo de cualquier nuevo producto, aplicación o servicio y que solo sean objeto de tratamiento los datos estrictamente necesarios para los fines recabados. De esta forma la protección de los datos desde el diseño^[1] y por defecto se convierte en una cuestión estratégica a través de la adopción de medidas que permitan garantizar el derecho a la protección de los datos de carácter personal.

De esta forma el artículo 25 del RGPD hace referencia a medidas como la seudonimización y minimización de los datos como medios para disminuir los riesgos, la probabilidad y la gravedad que propios del tratamiento para los derechos y libertades de las personas físicas.

1. Análisis de riesgos y adopción de medidas de seguridad

El RGPD no concreta en detalle qué medidas de seguridad han de instaurar los responsables y encargados del tratamiento, haciendo mención de que éstos establecerán aquellas medidas técnicas y organizativas para garantizar un nivel de seguridad adecuando acorde a los riesgos detectados en el análisis previo.

Estas medidas deberán establecerse teniendo en cuenta:

- El coste de la técnica

- Los costes de aplicación

- La naturaleza, el alcance, el contexto y los fines de tratamiento

- Los riesgos para los derechos y libertades

En relación al análisis y gestión del riesgo, corresponderá a los responsables realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y como deben hacerlo.

El modelo y complejidad del análisis estará determinado según el tipo de tratamientos, la naturaleza de los datos, el volumen de interesados afectados y la cantidad y variedad de tratamientos que se realicen.

...