Número de obligaciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Posted on por

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

El RGPD tiene 99 artículos, de los que:

  • 44 contienen obligaciones de contenido jurídico.
  • 5 contienen obligaciones relativas a medidas técnicas que pueden incuir medidas de seguridad (Artículos 5, 17, 24, 25 y 28)
  • 3 contienen obligaciones específicas en materia de seguridad (Artículos 32, 33 y 34)
  • Los restantes artículos tienen un contenido general y directrices para los estados y las autoridades de control

Si miramos la proporción entre las dos disciplinas, de los 44 artículos que contienen obligaciones:

  • El 84% contiene obligaciones de contenido jurídico
  • El 10% contiene obligaciones en materia de medidas técnicas
  • El 6% contiene obligaciones específicas en materia de seguridad

Si relacionamos las obligaciones contenidas en estos 44 artículos y las agrupamos por conceptos, el resultado es el siguiente:

  1. Principios relativos al tratamiento (Artículo 5)
  2. Licitud del tratamiento (Artículo 6)
  3. Condiciones para el consentimiento (Artículo 7)
  4. Consentimiento de menores (Artículo 8)
  5. Categorías especiales de datos (Artículo 9)
  6. Datos relativos a condenas e infracciones penales (Artículo 10)
  7. Tratamientos que no requieren identificación (Artículo 11)
  8. Ejercicio de derechos del interesado (Artículo 12)
  9. Información al interesado en la obtención directa (Artículo 13)
  10. Información al interesado en la obtención indirecta (Artículo 14)
  11. Derecho de acceso del interesado (Artículo 15)
  12. Derecho de rectificación (Artículo 16)
  13. Derecho de supresión (Artículo 17)
  14. Derecho a la limitación del tratamiento (Artículo 18)
  15. Notificación de las acciones relativas a los derechos anteriores (Artículo 19)
  16. Derecho a la portabilidad de los datos (Artículo 20)
  17. Derecho de oposición (Artículo 21)
  18. Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
  19. Limitaciones (Artículo 23)
  20. Responsabilidad del responsable del tratamiento (Artículo 24)
  21. Protección de datos desde el el diseño y por defecto (Artículo 25)
  22. Corresponsables del tratamiento (Artículo 26)
  23. Representantes en la Unión Europea (Artículo 27)
  24. Encargado del tratamiento (Artículo 28)
  25. Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
  26. Registro de las actividades de tratamiento (Artículo 30)
  27. Cooperación con la autoridad nacional (Artículo 31)
  28. Seguridad del tratamiento (Artículo 32)
  29. Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
  30. Comunicación de una violación de la seguridad al interesado (Artículo 34)
  31. Evaluación de impacto (Artículo 35)
  32. Consulta previa (Artículo 36)
  33. Designación del Delegado de Protección de Datos (Artículo 37)
  34. Posición del Delegado de Protección de Datos (Artículo 38)
  35. Funciones del Delegado de Protección de Datos (Artículo 39)
  36. Códigos de conducta (Artículo 40)
  37. Supervisión de los códigos de conducta (Artículo 41)
  38. Certificación (Artículo 42)
  39. Principio general de las transferencias a terceros países (Artículo 44)
  40. Transferencias basadas en una decisión de adecuación (Artículo 45)
  41. Transferencias mediante garantías adecuadas (Artículo 46)
  42. Normas corporativas vinculantes (Artículo 47)
  43. Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
  44. Excepciones para situaciones específicas (Artículo 49)

La distribución de las obligaciones relativas a estos artículos es la representada en el siguiente gráfico:

El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.

El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.

El proyecto de Ley relativo a la nueva LOPD sólo contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional desimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).

Acceso a las conclusiones del análisis

1 comentario en “Número de obligaciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

  1. Pingback: La seguridad es el 20% de un proyecto RGPD | Xavier Ribas

Los comentarios están cerrados.