Tratamientos para la Protección de Datos de Carácter Personal según el nuevo RGPD
Enviado por arrobaforma • 28 de Diciembre de 2018 • Monografía • 1.058 Palabras (5 Páginas) • 154 Visitas
Protección de Datos de Carácter Personal
El trabajo se corresponde con el planteamiento de Máster de Ciberseguridad de la asignatura de Legislación y donde se plantea qué medidas de cumplimiento normativo se aplicarán a los tratamientos de protección de datos.
El nuevo Reglamento establece el principio de responsabilidad proactiva (accountability) que obliga a las organizaciones que procesen datos de carácter personal a demostrar y garantizar que los tratamientos que lleven a cabo son conformes con la norma mediante la aplicación de medidas técnicas y organizativas apropiadas desde una actitud consciente, diligente y proactiva.
Y según apunta el artículo 24.1 del RGPD, corresponderá al responsable del tratamiento demostrar y garantizar que dicho tratamiento es conforme.
Además del responsable,en determinadas ocasiones, también corresponderá a los encargados la obligatoriedad de implantar un sistema interno de cumplimiento en materia de protección de datos que estará integrado por políticas y procesos internos. Estos deberán ser revisados, actualizados cuando sea necesario y periódicamente auditados de forma que permitan demostrar su cumplimiento.
Entre las medidas, aunque no las únicas y que permiten materializar este principio se indican las siguientes:
- Registro de actividades de tratamiento.
Corresponderá de forma interna a la organización la obligación de realizar el inventario de los tratamientos de datos de carácter personal, incluyendo entre información básica:
- El nombre y datos de contacto del responsable del tratamiento,
- El nombre y datos del Delegado de Protección de Datos en caso de haber sido aprobado este nombramiento.
- La finalidad del tratamiento.
- La descripción de categorías del interesado,
- La descripción de categorías de datos tratados,
- Las transferencias internacionales de datos.
- Medidas de protección de datos desde el diseño y por defecto.
Es necesario la inclusión de medidas de privacidad a lo largo de las distintas fases del ciclo de vida de desarrollo de cualquier nuevo producto, aplicación o servicio y que solo sean objeto de tratamiento los datos estrictamente necesarios para los fines recabados. De esta forma la protección de los datos desde el diseño[1] y por defecto se convierte en una cuestión estratégica a través de la adopción de medidas que permitan garantizar el derecho a la protección de los datos de carácter personal.
De esta forma el artículo 25 del RGPD hace referencia a medidas como la seudonimización y minimización de los datos como medios para disminuir los riesgos, la probabilidad y la gravedad que propios del tratamiento para los derechos y libertades de las personas físicas.
- Análisis de riesgos y adopción de medidas de seguridad
El RGPD no concreta en detalle qué medidas de seguridad han de instaurar los responsables y encargados del tratamiento, haciendo mención de que éstos establecerán aquellas medidas técnicas y organizativas para garantizar un nivel de seguridad adecuando acorde a los riesgos detectados en el análisis previo.
Estas medidas deberán establecerse teniendo en cuenta:
- El coste de la técnica
- Los costes de aplicación
- La naturaleza, el alcance, el contexto y los fines de tratamiento
- Los riesgos para los derechos y libertades
En relación al análisis y gestión del riesgo, corresponderá a los responsables realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y como deben hacerlo.
El modelo y complejidad del análisis estará determinado según el tipo de tratamientos, la naturaleza de los datos, el volumen de interesados afectados y la cantidad y variedad de tratamientos que se realicen.
...