Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).
Acceso a las conclusiones del análisis
Las obligaciones específicas en materia de seguridad están recogidas en la Sección 2 del capítulo IV del RGPD, aunque hay otras medidas técnicas a lo largo del RGPD que pueden estar asociadas a la seguridad. Esta Sección lleva el título de “Seguridad de los datos personales” e incluye tres artículos relaitivos a la seguridad del tratamiento (Artículo 32), la notificación de una violación de la seguridad de los datos personales a la autoridad de control (Artículo 33) y la comunicación de una violación de la seguridad de los datos personales al interesado (Artículo 34).
Las acciones descritas en esta sección y destinadas a garantizar un nivel de seguridad adecuado para el riesgo detectado incluirán, entre otras, las siguientes medidas:
- Seudonimización y el cifrado de datos personales.
- Medidas capaces de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- Medidas capaces de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
- Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- Evaluación periódica del riesgo de destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
- Adhesión a un código de conducta aprobado a tenor del artículo 40.
- Adhesión a un mecanismo de certificación aprobado a tenor del artículo 42.
- Medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable.
Una infracción de estas obligaciones establecidas en materia de seguridad, tendría una sanción de hasta 10 millones o el 2% del volumen de negocio ya que afectaría a los artículos 32, 33 y 34, cuyo incumplimiento está considerado como una infracción grave.
En cambio, la mayor parte de las infracciones relacionadas con las obligaciones jurídicas están consideradas como infracciones muy graves. con sanciones de hasta 20 millones o del 4% del volumen de negocio.
En términos absolutos, el reparto de las infracciones entre las dos disciplinas es el siguiente:
- Infracción de obligaciones jurídicas con sanciones de hasta 20 millones contenidas en 21 artículos.
- Infracción de obligaciones jurídicas con sanciones de hasta 10 millones contenidas en 16 artículos.
- Infracción de obligaciones en materias de seguridad con sanciones de hasta 10 millones contenidas en 3 artículos.
Pingback: La seguridad es el 20% de un proyecto RGPD | Xavier Ribas