Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).
Acceso a las conclusiones del análisis
El RGPD tiene 99 artículos, de los que:
- 44 contienen obligaciones de contenido jurídico.
- 5 contienen obligaciones relativas a medidas técnicas que pueden incuir medidas de seguridad (Artículos 5, 17, 24, 25 y 28)
- 3 contienen obligaciones específicas en materia de seguridad (Artículos 32, 33 y 34)
- Los restantes artículos tienen un contenido general y directrices para los estados y las autoridades de control
Si miramos la proporción entre las dos disciplinas, de los 44 artículos que contienen obligaciones:
- El 84% contiene obligaciones de contenido jurídico
- El 10% contiene obligaciones en materia de medidas técnicas
- El 6% contiene obligaciones específicas en materia de seguridad
Si relacionamos las obligaciones contenidas en estos 44 artículos y las agrupamos por conceptos, el resultado es el siguiente:
- Principios relativos al tratamiento (Artículo 5)
- Licitud del tratamiento (Artículo 6)
- Condiciones para el consentimiento (Artículo 7)
- Consentimiento de menores (Artículo 8)
- Categorías especiales de datos (Artículo 9)
- Datos relativos a condenas e infracciones penales (Artículo 10)
- Tratamientos que no requieren identificación (Artículo 11)
- Ejercicio de derechos del interesado (Artículo 12)
- Información al interesado en la obtención directa (Artículo 13)
- Información al interesado en la obtención indirecta (Artículo 14)
- Derecho de acceso del interesado (Artículo 15)
- Derecho de rectificación (Artículo 16)
- Derecho de supresión (Artículo 17)
- Derecho a la limitación del tratamiento (Artículo 18)
- Notificación de las acciones relativas a los derechos anteriores (Artículo 19)
- Derecho a la portabilidad de los datos (Artículo 20)
- Derecho de oposición (Artículo 21)
- Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
- Limitaciones (Artículo 23)
- Responsabilidad del responsable del tratamiento (Artículo 24)
- Protección de datos desde el el diseño y por defecto (Artículo 25)
- Corresponsables del tratamiento (Artículo 26)
- Representantes en la Unión Europea (Artículo 27)
- Encargado del tratamiento (Artículo 28)
- Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
- Registro de las actividades de tratamiento (Artículo 30)
- Cooperación con la autoridad nacional (Artículo 31)
- Seguridad del tratamiento (Artículo 32)
- Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
- Comunicación de una violación de la seguridad al interesado (Artículo 34)
- Evaluación de impacto (Artículo 35)
- Consulta previa (Artículo 36)
- Designación del Delegado de Protección de Datos (Artículo 37)
- Posición del Delegado de Protección de Datos (Artículo 38)
- Funciones del Delegado de Protección de Datos (Artículo 39)
- Códigos de conducta (Artículo 40)
- Supervisión de los códigos de conducta (Artículo 41)
- Certificación (Artículo 42)
- Principio general de las transferencias a terceros países (Artículo 44)
- Transferencias basadas en una decisión de adecuación (Artículo 45)
- Transferencias mediante garantías adecuadas (Artículo 46)
- Normas corporativas vinculantes (Artículo 47)
- Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
- Excepciones para situaciones específicas (Artículo 49)
La distribución de las obligaciones relativas a estos artículos es la representada en el siguiente gráfico:
El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.
El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.
El proyecto de Ley relativo a la nueva LOPD sólo contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional desimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).
Pingback: La seguridad es el 20% de un proyecto RGPD | Xavier Ribas