Artículo 32

Seguridad del tratamiento

1.   1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

(a)

la seudonimización y el cifrado de datos personales;

(b)

la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

(c)

la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;

(d)

un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

2.    Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

3.    Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article.

4.   El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

¿Qué significa?

Las medidas de seguridad técnicas y organizativas son términos que se utilizan a menudo en el contexto del RGPD.

Una medida técnica podría ser el uso de software antivirus para la detección de malware en su ordenador o el uso de cámaras de vídeo para disuadir a los delincuentes. Tanto el software antivirus como las cámaras de vídeo pueden ayudar a una empresa a mantener un nivel adecuado de seguridad de la información personal identificable que su empresa está tratamiento.

Una medida organizativa podría ser los tratar, los procedimientos o la formación de los empleados en las mejores prácticas. Las medidas organizativas son esenciales para aplicarlas en las organizaciones menores, ya que éstas suelen disponer de menos recursos técnicos para aplicar medidas técnicas. Las medidas técnicas suelen requerir conocimientos más especializados para su aplicación adecuada.

El RGPD establece que es necesario aplicar medidas organizativas técnicas y medidas organizativas “apropiadas”; en este sentido, el significado de “apropiado” es un término crucial que hay que entender para el cumplimiento del RGPD.

Sólo sabrá cuáles son las medidas adecuadas cuando haya evaluado los riesgos del tratamiento datos personales de su organización. Así que hay que hacer una evaluación de riesgos.

A partir de los resultados de sus evaluaciones de riesgo, sabrá a qué amenazas y consecuencias potenciales se enfrenta su organización. Después, es esencial mitigar estos riesgos mediante la adopción de medidas técnicas organizativas y medidas técnicas”adecuadas”.

La evaluación de riesgos aclara los riesgos a los que se expone su tratamiento de datos personales. En función de los riesgos identificados, debe evaluar qué nivel de riesgo está dispuesto a aceptar.

En general, las medidas de seguridad apropiadas deben aumentar cuando tratamiento información personal cada vez más sensible, varios tipos de información personal y cuando aumenta el volumen de los interesados.

Desgraciadamente, no hay una talla única a la hora de establecer un nivel de seguridad adecuado al riesgo, y no hay atajos. Afortunadamente, esto también es una ventaja, ya que le permite aplicar las medidas de seguridad más adecuadas a sus necesidades.

Si sus datos están encriptados, las personas no autorizadas no podrán leer la información si se la roban. Esta propiedad hace que el cifrado sea una medida de seguridad recomendada en el RGPD.

Todo lo que puede leer en este artículo está en un formato legible llamado “texto plano”. Si el contenido estuviera cifrado, el texto sería ilegible tanto para el lector como para el ordenador. Así, el cifrado garantizaría la confidencialidad de esta información.

El contenido sólo sería legible cuando se elimine el cifrado, hecho con una clave de cifrado. Una clave de cifrado es una especie de “contraseña” que da acceso al contenido.

La clave de cifrado conecta el texto plano y el texto cifrado.

El cifrado es crucial para la seguridad de la información, especialmente en el sector bancario, donde se transfiere dinero digital entre bancos. El cifrado garantiza que estas transferencias puedan realizarse de forma segura sin revelar su información a terceros.

Los tres términos Confidencialidad, Integridad y Disponibilidad forman parte de un marco de seguridad de la información utilizado para analizar los riesgos asociados al tratamiento datos.

El marco se utiliza en la mayoría de los marcos de evaluación de riesgos, y la redacción del artículo 32(1)(a) nos insinúa que tenemos que hacer una evaluación de riesgos.

La confidencialidad significa que la información debe estar protegida contra el acceso o la divulgación no autorizados, de modo que no pueda ser conocida por personas no autorizadas. Esto puede implicar, por ejemplo, la protección contra los hackers o evitar el envío de correos electrónicos a los destinatarios equivocados.

La disponibilidad se refiere a la protección de la información contra el acceso no autorizado de las personas que tienen derecho a acceder a ella. Si no puede acceder a sus datos personales en su banco online, por ejemplo, esto puede tener consecuencias negativas para usted: es posible que no pueda pagar una factura a tiempo.

La integridad se refiere a la protección de la información frente a modificaciones o destrucciones no autorizadas. La información debe ser exacta, ya que es la base para el tratamiento los datos; por ejemplo, si se cometen errores en el pago de los salarios, un empleado puede correr el riesgo de perder su paga.

Como responsable del tratamiento o tratarde datos (es decir, cualquier empresario), debe asegurarse de que sus empleados han recibido instrucciones sobre cómo tratar los datos personales. Esto indica que debe contar con tratary procedimientos para tratar los datos personales con cuidado.

El registro de actividades de tratamiento contiene una lista de los tratarque deben tener instrucciones para los empleados.

Sensibilización

Asegúrese de que toda su empresa cuenta con la formación de concienciación necesaria sobre los aspectos básicos del RGPD y la seguridad informática.

Discover

About