Las relaciones entre los actores en un contrato de encargo de tratamiento, es decir, los responsables principales y los terceros que se harán cargo, están sujetos a una serie de medidas de seguridad del RGPD que se regulan a través de un acto de naturaleza jurídica que vincula a ambas partes. En el mismo debe definirse y regularse el método en que se va a realizar la gestión de la información para el responsable por parte de la entidad o personas encargadas. Este es un contrato que debe figurar de manera escrita o de tipo electrónico, y que ha de incluir lo dispuesto en el artículo número 28 del Reglamento General de Protección de Datos.
Medidas de Seguridad RGPD ¿Qué se debe establecer en el contrato?
A la hora de establecer en el contrato las medidas de seguridad que el encargado de tratamiento debe establecer para el responsable, es necesario acudir a las previsiones del artículo 32 del RGPD. En el contrato se pueden definir una serie de medidas de seguridad muy concretas o se puede establecer un marco general estandarizado de las mismas.
El contrato supone una carga de obligaciones tanto para el encargado del proceso de tratamiento de la información como para el primer responsable de la misma. El responsable del tratamiento está obligado a llevar a cabo la evaluación de riesgos con el fin de analizar las medidas de seguridad que se van a adecuar mejor al objetivo de conseguir la mejor protección para la privacidad y libertad de los usuarios. El encargado tiene, por su parte, la tarea de evaluar los riesgos que pueden darse durante el tratamiento que propone de los datos.
La mejor manera de comprender el alcance de las obligaciones es considerar que el encargo de tratamiento no se suele realizar en las instalaciones del responsable primero de los datos. Es decir, para casos en que, por ejemplo, una empresa busque un servicio externo para gestionar la gestión de las nóminas de sus empleados, de cuyos datos es responsable, es su deber y el de la empresa que le conceda el servicio evaluar por su lado los riesgos a la hora de tratar toda la información. Debe ser una sinergia, pues de nada servirá que la empresa proteja a sus trabajadores si la entidad del servicio externo no cuida del mismo modo los datos a la hora de trabajar.
Como ejemplos de medidas de seguridad de carácter general establecidas en un contrato podemos encontrar las siguientes:
– El uso de seudónimos para los interesados y el cifrado digital de los datos personales tratados.
– Garantías de confidencialidad, de integridad, de disposición de los datos y de resiliencia, cualidades todas que deben ser constantes en los sistemas y los servicios provistos para el tratamiento.
– Capacidad de reestablecer la disponibilidad y el acceso a la información de carácter personal de una manera rápida, para los casos de accidentes físicos o técnicos.
– Procedimientos de verificación, de evaluación y para la valoración regulares que certifiquen la eficacia de las medidas organizativas y técnicas que sirvan para dar garantía de seguridad durante el tratamiento.
¿Cómo establecer las medidas de seguridad según el RGPD?
El nuevo reglamento no lista de manera concreta las medidas de seguridad que deben ser de aplicación según el tipo de los datos que van a ser manejados en un sistema de tratamiento. En lugar de eso, lo que sí determina es que las personas o entidades responsables y encargadas del tratamiento establecerán y pondrán en aplicación las medidas de organización y de tipo técnico que sean las adecuadas al riesgo que pueda conllevar el servicio de tratamiento. Es decir, con el RGPD ahora se pueden establecer medidas de seguridad adecuadas a las necesidades del tipo de datos, del objetivo de su tratamiento y según la metodología o naturaleza del mismo.
De esta manera, los riesgos que se asocien a según qué tratamiento serán los que definan en última instancia las medidas de seguridad que los actores en el contrato necesitan implementar. Esto implica que una evaluación de los riesgos que se asocian a un proceso de tratamiento es necesaria, y que, en función del resultado de dicho análisis realizado previamente, es como se diseña el listado de medidas de seguridad que será necesario implantar.
Los resultados de los análisis de riesgos variarán en función de una gran variedad de factores, como pueden ser la naturaleza misma de los datos, el número de usuarios interesados en el tratamiento, o qué tipos de tratamientos se van a realizar, entre otros. El resultado del análisis también revelará el nivel del riesgo entre bajo, medio o alto, lo cual también influirá en la adopción de unas u otras medidas.
Considerando que las medidas de seguridad siempre deben ser las proporcionales y adecuadas a todo riesgo que se pueda detectar, el RGPD señala que, para determinar las medidas de seguridad de tipo técnico y organizativo específicas para cada caso, deberán tenerse en cuenta los siguientes aspectos:
– El estado de la técnica que se va a utilizar.
– Los costes que supondrán la aplicación de la técnica de tratamiento.
– Naturaleza, extensión y contexto, además del objetivo con el que se hace el tratamiento.
– Riesgos que existen para los derechos y libertades de los individuos y probabilidad de que puedan llegar a darse. También debe contemplarse su gravedad.
Cuando se evalúe la adaptación del nivel de seguridad de las medidas para la protección del tratamiento, también habrán de tenerse en cuenta los riesgos particulares a consecuencia de la posible destrucción, la pérdida o la alteración ilícita o por accidente de los datos personales que se almacenan, transmiten o tratan en cualquier forma, incluyendo el acceso o la comunicación no autorizados de la información.
El análisis de los riesgos supone la piedra angular a la hora de plantear toda implantación de medidas de seguridad que puedan volverse necesarias con el fin de garantizar la libertad y el derecho de toda persona física. Esto implica que ciertas medidas solo podrán ser aplicadas en tratamientos que supongan un riesgo alto, mientras que otras medidas se implementarán o corregirán para adecuarse al nivel y el carácter del riesgo que un tratamiento específico pueda suponer. Esta es la principal razón por la que se hace importante la actualización que supone el RGPD respecto al viejo esquema de medidas de seguridad que se preveía en el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos. En algunos casos será posible seguir aplicando las medidas establecidas en el Reglamento de la LOPD, siempre que los resultados de un análisis de riesgos permitan concluir que dichas medidas de seguridad son las más adecuadas para seguir ofreciendo un adecuado nivel de seguridad. Pero se encontrarán casos, probablemente la mayoría, en que las medidas preexistentes deberán complementarse con medidas adicionales o que deban ser sustituidas por otras más adecuadas.
La Agencia Española de Protección de Datos determina que todo tratamiento que implique un riesgo bajo para los derechos y libertades de las personas interesadas no requerirán en un principio de medidas de seguridad de mayor complejidad que las que ya se establecen en el Reglamento de Desarrollo de la LOPD para niveles básicos. Es tarea del responsable del tratamiento corroborar que dichas medidas se están aplicando, así como valorar si se dan casos de tratamientos cuyo contexto, o por el tipo de interesados para el que se desempeña, exigiría medidas de seguridad adicionales o distintas a las establecidas, en cuyo caso podrían servir a modo orientativo las medidas de seguridad para nivel medio que se establecen en el Reglamento de la LOPD.
En todos los casos no será válido esto, y los responsables podrán continuar aplicando las mismas medidas de la LOPD si los análisis de riesgos determinan que dichas medidas son en verdad las más adecuadas para mantener el debido nivel de seguridad, pero se darán casos en que se deban adecuar los paquetes de medidas a los aspectos únicos del tratamiento o del contexto del mismo.
La nueva Ley Orgánica de Protección de Datos Personales y de Gestión de Derechos Digitales no establece una ampliación sobre las medidas de seguridad que indica el RGPD para el ámbito de las Administraciones Públicas. De hecho, en la Disposición Adicional 1ª determina que el Esquema Nacional de Seguridad será el encargado de incorporar las medidas de seguridad que sean necesarias implantar por parte de los responsables que se enumeran en el artículo 77.1 de la Ley Orgánica. Dichas medidas tendrán como objetivo evitar casos de pérdida, de alteración o de acceso no autorizado para los datos, al tiempo que existirá la obligación de impulsar la implementación de medidas del mismo nivel para las empresas y fundaciones que se vinculen con ellos en el ámbito del Derecho Privado. Esto último sería para contemplar los casos en que un tercero prestara un servicio en régimen concesionario, de encomienda de la gestión o por contrato.
El uso de datos seudonimizados para servir en la investigación del ámbito de la salud pública y de tipo biomédico está considerado legal. Para ello, los datos en cuestión deben ser solo accesibles para el equipo que lleva a cabo las investigaciones, y adoptándose para ello medidas de seguridad concretas que eliminen toda posibilidad de reidentificar a los interesados o de acceso no autorizado de terceros.
Las medidas de seguridad RGPD sirven para garantizar que responsables y encargados de un tratamiento de datos personales trabajarán juntos para proporcionar garantías de seguridad y privacidad.
