La seguridad es el 20% de un proyecto RGPD

La gran demanda de servicios de adecuación al RGPD (GDPR por sus siglas en inglés) experimentada este año en la Unión Europea está teniendo una respuesta absolutamente heterogénea por parte de las empresas consultoras y los despachos de abogados.  Mientras las primeras dan más importancia a la seguridad en el alcance de la propuesta, los segundos dan mayor protagonismo a las obligaciones de contenido jurídico.

Es absolutamente normal y legítimo que cada uno defienda el alcance que considera más adecuado para satisfacer una necesidad de cumplimiento normativo que comporta importantes sanciones, especialmente en relación a una norma que el cliente medio no conoce a fondo debido a la situación de hiperregulación existente en la actualidad en la Europa continental.

Todos estamos de acuerdo en que los proyectos RGPD deben tener un enfoque multidisciplinar que incluya e integre los conocimientos jurídicos y los conocimientos tecnológicos, estructurados habitualmente en medidas organizativas, jurídicas y de seguridad. En lo que no hay un criterio uniforme es en la proporción de cada área.

Por ello, en el mercado actual podemos encontrar multiples combinaciones que configuran diversas modalidades de enfoque que escoran hacia una u otra disciplina en función de quién lidere el proyecto.

Siguiendo la regla del 80-20, es habitual que los proyectos impulsados por consultoras de seguridad dediquen un 80% a la seguridad y un 20% a las cuestiones jurídicas. Y también es habitual que los proyectos impulsados por despachos de abogados dediquen un 80% a las cuestiones jurídicas y un 20% a la seguridad. Estos porcentajes variarán en función de los acuerdos de colaboración externa o de organización interna, y del peso que cada disciplina tenga en esos acuerdos, llegando, en algunos casos, a la proporción aparentemente ideal del 50-50.

Los argumentos comerciales han coincidido en resaltar la cuantía de las sanciones en ambas disiciplinas, aunque en materia de seguridad el argumento principal se ha centrado en el impacto reputacional de tener que comunicar una brecha de seguridad o una fuga de datos.

En cuanto a los entregables, las consultoras acostumbran a dividir las fases de análisis de gap, disgnóstico, plan de acción e implantación, con una clara separación de esta última fase, que es opcional, de las anteriores fases. Los despachos de abogados se centran más en la adaptación, por lo que aunque las fases coincidan, los entregables incluyen más políticas, normas, procedimientos y aspectos organizativos relacionados con los principios del RGPD.

Para realizar un análisis objetivo del peso real de cada disciplina en un proyecto RGPD habría que valorar los siguientes elementos:

  1. Número de obligaciones del RGPD que guardan relación con cada una de las dos disciplinas.
  2. Número de infracciones del RGPD que guardan relación con cada una de las dos disciplinas
  3. Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad.
  4. Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada.
  5. Cuantía de las sanciones impuestas en el RGPD a las infracciones relacionadas con obligaciones jurídicas y de seguridad.
  6. Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD.
  7. La certeza de que no todos los incidentes de seguridad que se produzcan constituirán una violación de datos que tenga que ser notificada o comunicada.

Una primera aproximación a estos seis elementos de valoración nos da los resultados que aparecen reseñados en los artículos enlazados en la lista anterior.

CONCLUSIONES

Tras analizar los datos objetivos que ofrece el RGPD y las estadísticas analizadas, se puede llegar a las siguientes conclusiones:

  1. Los proyectos RGPD deben dar prioridad a las medidas destinadas a prevenir las infracciones graves y muy graves.
  2. La mayor parte de estas medidas son jurídicas.
  3. Las obligaciones de contenido jurídico constituyen el 84% de las obligaciones establecidas en el RGPD.
  4. Las medidas de seguridad constituyen el 6% de las obligaciones establecidas en el RGPD.
  5. Las infracciones relativas a las medidas de contenido jurídico pueden tener una sanción máxima de 20 millones.
  6. Las infracciones relativas a las medidas de seguridad pueden tener una infracción máxima de 10 millones.
  7. El 99% infracciones más sancionadas en España en 2016 estaban relacionadas con obligaciones jurídicas.
  8. El 1% de las infracciones más sancionadas en España en 2016 estaban relacionadas con medidas de seguridad.
  9. La obligación de comunicar las violaciones de datos pude producir un incremento en la comunicación de las violaciones de la confidencialidad de los datos que tengan sus efectos fuera del perímetro de la empresa, pero es muy probable que las violaciones de la integridad y la disponibilidad de los datos que sólo tengan efectos en el interior de la empresa, sigan sin ser comunicadas.

Las dos disciplinas, la jurídica y la relativa a la seguridad son absolutamente complementarias y deben trabajar juntas en los proyectos RGPD, pero el miedo a tener que comunicar una violación de datos no puede hacer perder la atención en el objetivo principal del proyecto, que es prevenir las infracciones que realmente tengan más probabilidad y más impacto económico en función de las estadísticas analizadas, las tendencias previsibles, las obligaciones establecidas en el RGPD y la cuantía de las sanciones.

Carga de trabajo que supone el análisis del riesgo y la actividad preventiva en relación a los riesgos jurídicos y de seguridad del RGPD

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

La parte jurídica de un proyecto RGPD está sujeta a la interpretación constante de la empresa que se adapta, de sus asesores, de las autoridades de control y de las autoridades judiciales.

La parte de seguridad contiene una obligación de resultado consistente en que no tiene que producirse ninguna violación de datos.

Tanto en las obligaciones jurídicas como en las relativas a la seguridad de los datos personales, intervienen factores y variables que van mucho más allá de la carga de trabajo que suponga el proyecto.

Ello hace que, aunque un proyecto mayor en duración y recursos debería, aparentemente, ser más eficaz en la prevención de infracciones que uno pequeño, en la práctica no tiene por qué ser así. Puede darse perfectamente el caso de que un gran proyecto no consiga impedir que se produzcan infracciones y uno pequeño sí. Ocurre lo mismo que en las campañas de publicidad, que no permiten saber dónde se está tirando el dinero.

Entre los factores que pueden contribuir a que haya o no infracciones, independientemente del esfuerzo realizado y los recursos invertidos en un proyecto RGPD, destacan los siguientes:

  1. La metodología aplicada
  2. La experiencia de las personas que lideran el proyecto
  3. El conocimiento de las medidas más eficaces
  4. La priorización de los datos más sensibles
  5. La priorización de las obligaciones con mayor sanción
  6. La concentración del esfuerzo en los riesgos con mayor probabilidad e impacto
  7. La cultura de cumplimiento de la empresa
  8. La voluntad de cumplimiento del negocio
  9. El apetito de riesgo
  10. Los objetivos económicos del negocio
  11. La presión comercial y en materia de marketing
  12. El sector al que pertenece la empresa
  13. La tipología de los datos
  14. La tipología de los interesados
  15. El valor de los datos en el mercado
  16. El nivel de interés de eventuales atacantes en los datos
  17. El factor humano
  18. La suerte

Debe tenerse en cuenta que un proyecto de RGPD no parte de cero, ya que acumula el trabajo realizado y la experiencia adquirida en 25 años de protección de datos en España. Por ello debe evitarse caer en los mismos errores que se cometieron en los primeros años.

Por ejemplo, en materia de análisis de tratamientos, una metodología que siga descubriendo tratamientos tres meses después del inicio del proyecto no puede ser una buena metodología, ya que demuestra una gestión caótica y sin autoridad del modelo de datos. Pasaba lo mismo en los años 90 con los ficheros.

El análisis y registro de los tratamientos no puede quedar permanentemente dependiendo de las múltiples iniciativas que tenga cada departamento (metodología pull) sino que debe establecer un modelo de datos que vaya acompañado de procedimientos que garanticen la privacidad desde el diseño y por defecto (metodología push), de manera que, una vez implantado el modelo de datos, cualquier modificación del mismo deba iniciar este procedimiento, con la correspondiente evaluación de impacto, si es necesario.

Este simple cambio de una metodología pull a una metodología push puede ahorrar muchas horas de proyecto y prevenir los riesgos de nuevos tratamientos sin consentimiento o de nuevas finalidades no informadas con una mayor eficacia.

En materia de seguridad ocurre algo parecido.

Por todo ello es muy difícil compararar la carga de trabajo de las dos disciplinas en términos meramente cuantitativos.

Acceso a las conclusiones del análisis

Cuantía de las sanciones impuestas en el RGPD a las infracciones relacionadas con obligaciones jurídicas y de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Las obligaciones específicas en materia de seguridad están recogidas en la Sección 2 del capítulo IV del RGPD, aunque hay otras medidas técnicas a lo largo del RGPD que pueden estar asociadas a la seguridad. Esta Sección lleva el título de “Seguridad de los datos personales” e incluye tres artículos relaitivos a la seguridad del tratamiento (Artículo 32), la notificación de una violación de la seguridad de los datos personales a la autoridad de control  (Artículo 33) y la comunicación de una violación de la seguridad de los datos personales al interesado (Artículo 34).

Las acciones descritas en esta sección y destinadas a garantizar un nivel de seguridad adecuado para el riesgo detectado incluirán, entre otras, las siguientes medidas:

  1. Seudonimización y el cifrado de datos personales.
  2. Medidas capaces de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  3. Medidas capaces de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  4. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
  5. Evaluación periódica  del riesgo de destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
  6. Adhesión a un código de conducta aprobado a tenor del artículo 40.
  7. Adhesión a un mecanismo de certificación aprobado a tenor del artículo 42.
  8. Medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable.

Una infracción de estas obligaciones establecidas en materia de seguridad, tendría una sanción de hasta 10 millones o el 2% del volumen de negocio ya que afectaría a los artículos 32, 33 y 34, cuyo incumplimiento está considerado como una infracción grave.

En cambio, la mayor parte de las infracciones relacionadas con las obligaciones jurídicas están consideradas como infracciones muy graves. con sanciones de hasta 20 millones o del 4% del volumen de negocio.

En términos absolutos, el reparto de las infracciones entre las dos disciplinas es el siguiente:

  • Infracción de obligaciones jurídicas con sanciones de hasta 20 millones contenidas en 21 artículos.
  • Infracción de obligaciones jurídicas con sanciones de hasta 10 millones contenidas en 16 artículos.
  • Infracción de obligaciones en materias de seguridad con sanciones de hasta 10 millones contenidas en 3 artículos.

Probabilidad de que una infracción del RGPD llegue a ser conocida, denunciada y sancionada

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Análisis a las conclusiones del análisis

Para calcular la probabilidad de que un incumplimiento del RGPD llegue a ser conocido, denunciado y sancionado, depende, en gran medida, de que el incumplimiento tenga sus efectos, o pueda ser percibido por fuera del perímetro de la empresa.

Si valoramos el riesgo de que esto suceda en cada una de las obligaciones del RGPD que pueden ser incumplidas por una empresa, podemos elaborar una tabla como la siguiente, en la que se valora, de forma aproximativa, el riesgo de que una infracción pueda tener efectos o ser percibida fuera del perímetro de la empresa:

  1. Principios relativos al tratamiento – Riesgo alto
  2. Licitud del tratamiento – Riesgo alto
  3. Condiciones para el consentimiento – Riesgo alto
  4. Consentimiento de menores – Riesgo alto
  5. Categorías especiales de datos – Riesgo medio
  6. Datos relativos a condenas e infracciones penales – Riesgo medio
  7. Tratamientos que no requieren identificación – Riesgo bajo
  8. Ejercicio de derechos del interesado – Riesgo alto
  9. Información al interesado en la obtención directa – Riesgo alto
  10. Información al interesado en la obtención indirecta – Riesgo medio
  11. Derecho de acceso del interesado – Riesgo alto
  12. Derecho de rectificación – Riesgo alto
  13. Derecho de supresión – Riesgo alto
  14. Derecho a la limitación del tratamiento – Riesgo alto
  15. Notificación de las acciones relativas a los derechos anteriores – Riesgo alto
  16. Derecho a la portabilidad de los datos – Riesgo alto
  17. Derecho de oposición – Riesgo alto
  18. Decisiones individuales automatizadas y elaboración de perfiles – Riesgo medio
  19. Limitaciones  – Riesgo bajo
  20. Responsabilidad del responsable del tratamiento – Riesgo medio
  21. Protección de datos desde el el diseño y por defecto – Riesgo medio
  22. Corresponsables del tratamiento  – Riesgo medio
  23. Representantes en la Unión Europea  – Riesgo alto
  24. Encargado del tratamiento – Riesgo medio
  25. Tratamiento bajo la autoridad del responsable o del encargado – Riesgo bajo
  26. Registro de las actividades de tratamiento  – Riesgo bajo
  27. Cooperación con la autoridad nacional –  – Riesgo alto
  28. Seguridad del tratamiento  – Riesgo bajo en relación a la disponibilidad y a la integridad y riesgo alto en relación a la confidencialidad
  29. Notificación de una violación de la seguridad a la autoridad de control – Riesgo alto
  30. Comunicación de una violación de la seguridad al interesado – Riesgo alto
  31. Evaluación de impacto – Riesgo bajo
  32. Consulta previa – Riesgo alto
  33. Designación del Delegado de Protección de Datos – Riesgo alto
  34. Posición del Delegado de Protección de Datos – Riesgo bajo
  35. Funciones del Delegado de Protección de Datos – Riesgo bajo
  36. Códigos de conducta – Riesgo alto
  37. Supervisión de los códigos de conducta – Riesgo alto
  38. Certificación – Riesgo alto
  39. Principio general de las transferencias a terceros países – Riesgo alto
  40. Transferencias basadas en una decisión de adecuación – Riesgo alto
  41. Transferencias mediante garantías adecuadas – Riesgo alto
  42. Normas corporativas vinculantes – Riesgo alto
  43. Transferencias no autorizadas por el Derecho de la Unión – Riesgo alto
  44. Excepciones para situaciones específicas – Riesgo alto

Al realizar este ejercicio nos damos cuenta de que todas las obligaciones en las que el interesado puede, de alguna manera, monitorizar o percibir el nivel de cumplimiento son aquellas en las que una eventual infracción tendría una manifestación o unos efectos fuera de la empresa. En cambio, las infracciones que sólo se manifestan o tienen sus efectos dentro de la empresa, son susceptibles de ser ocultadas o subsanadas, con la excepción de las que sean filtradas o denunciadas por alguien que se halle dentro del círculo de confianza de la empresa o sea expulsado del mismo a causa de un confilcto o de un despido.

En el caso de infracción de una obligación jurídica con riesgo alto de conocimiento por parte del interesado, la empresa no tiene muchas opciones para ocultar, corregir o eliminar los efectos de la infracción, ya que éstos han salido de su ámbito de control. Por ejemplo, si la empresa realiza un envío masivo de publicidad por correo electrónico y sin consentimiento, la prueba de la infracción está en cada uno de los buzones de entrada de los múltiples destinatarios.

En el caso de infracción de una obligación específica en materia de seguridad, como las relacionadas con las violaciones de datos, el Grupo de Trabajo del Artículo 29 ha identificado tres opciones:

  • Las violaciones de la integridad.
  • Las violaciones de la disponibilidad.
  • Las violaciones de la confidencialidad.

En el caso de las dos primeras, la empresa puede actuar de forma rápida y solucionar el problema sin que el interesado llegue a darse cuenta. En el caso de una violación de la confidencialidad, la existencia de la divulgación de los datos puede llegar a conocimiento del interesado o no, ya que puede deberse a un incidente involuntario intrascendente o a un ataque que no ha sido hecho público.

El gran impacto reputacional y la desconfianza en la seguridad de la empresa que puede generar la divulgación de una violación de datos hace que, en la mayoría de los casos, las empresas sólo publiquen datos de las violaciones de datos que ya han sido conocidas por los interesados.

No parece que esta estrategia vaya a cambiar a pesar de la obligación de comunicar las violaciones de datos. Las empresas, especialmente las de aquellos sectores en los que los datos personales sea un activo crítico, intentarán no tener que comunicar la existencia de la violación. Salvo que la brecha de seguridad haya sido dada a conocer por terceros, en la medida de lo posible, y especialmente en los casos de violación de la integridad y de la disponibilidad, estos incidentes seguirán siendo de ámbito interno muy probablemente.

Si a ello unimos las conclusiones del análisis histórico de sanciones, en el que las cuestiones relativas a la seguirdad prácticamente no aparecen, es posible afirmar que existe una mayor probabilidad de que el incumplimiento de una obligación jurídica sea sancionado, frente a la menor probabilidad de sanción del incumplimiento de una obligación de seguridad.

Acceso a las conclusiones del análisis

Probabilidad de que se produzca una infracción de las obligaciones jurídicas y de las obligaciones de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Teniendo en cuenta que las características esenciales de las obligaciones establecidas en la LOPD y en el RGPD en materia de protección de datos son bastante parecidas, podemos acudir a las estadísticas publicadas anualmente por la Agencia Española de Protección de Datos (AEPD) para ver cuáles son los incumplimientos más frecuentes.

De acuerdo con la última memoria anual publicada por la AEPD, que corresponde a 2016, los datos relativos a las sanciones impuestas a empresas son los siguientes:

  • Videovigilancia: 170 sanciones
  • Ficheros de morosidad: 141 sanciones
  • Comunicaciones electrónicas (Spam): 77 sanciones
  • Contratación fraudulenta: 74 sanciones
  • Publicidad y marketing (Excepto spam): 54 sanciones
  • Información insuficiente: 1 sanción
  • Cookies: 9 sanciones
  • Documentación desechada sin destruir o borrar: 3 sanciones

Como podemos ver, de un total de 529 sanciones analizadas, sólo 3 tendrían relación con un incumplimiento de las medidas de seguridad. Es decir, un 1%.

Acceso a las conclusiones del análisis

 

Número de infracciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

Las infracciones que establece el artículo 83 del RGPD se distribuyen en dos grandes grupos:

A) Infracciones con sanciones de hasta 20 millones o el 4% del volumen de negocio, cuyo contenido es exclusivamente jurídico, ya que se refieren a:

  1. Los principios básicos del tratamiento (Artículos 5, 6, 7 y 9)
  2. Los derechos de los interesados (Artículos 12 a 22)
  3. Las transferencias de datos personales a un tercer país (Artículos 44 a 49)
  4. El incumplimiento de obligaciones en virtud del Derecho de los Estados miembros (Artículos 85 a 91)
  5. El incumplimiento de resoluciones de la autoridad de control (Artículo 58)

B) Infracciones con sanciones de hasta 10 millones o el 2% del volumen de negocio, cuyo contenido es predominantemente jurídico, ya que se refieren a:

  1. Las obligaciones del responsable y del encargado del tratamiento
  2. Las obligaciones de los organismos de certificación
  3. Las obligaciones de las autoridades de control

Las infracciones en materia de seguridad están incluidas en el punto 1, relativo a las obligaciones del responsable y del encargado del tratamiento, que están descritas en los artículos 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 y 43.

Por lo tanto, una infracción de las obligaciones establecidas en materia de seguridad, tendría una sanción de hasta 10 millones o el 2% del volumen de negocio y afectaría a 3 de los 19 artículos del RGPD cuya infracción comportaría este tipo de sanciones.

En términos absolutos, el reparto de las infracciones entre las dos disciplinas es el siguiente:

  • Infracción de obligaciones jurídicas con sanciones de hasta 20 millones contenidas en 21 artículos.
  • Infracción de obligaciones jurídicas con sanciones de hasta 10 millones contenidas en 16 artículos.
  • Infracción de obligaciones en materias de seguridad con sanciones de hasta 10 millones contenidas en 3 artículos.

Cabe añadir que dos de los tres artículos relativos a medidas de seguridad se refieren a la obligación de notificar y comunicar las violaciones de datos.

Acceso a las conclusiones del análisis

Número de obligaciones del RGPD que guardan relación con las medidas jurídicas y con las medidas de seguridad

Este artículo forma parte de un análisis del peso real que las medidas jurídicas y las medidas de seguridad tienen en un proyecto RGPD (GDPR por sus siglas en inglés).

Acceso a las conclusiones del análisis

El RGPD tiene 99 artículos, de los que:

  • 44 contienen obligaciones de contenido jurídico.
  • 5 contienen obligaciones relativas a medidas técnicas que pueden incuir medidas de seguridad (Artículos 5, 17, 24, 25 y 28)
  • 3 contienen obligaciones específicas en materia de seguridad (Artículos 32, 33 y 34)
  • Los restantes artículos tienen un contenido general y directrices para los estados y las autoridades de control

Si miramos la proporción entre las dos disciplinas, de los 44 artículos que contienen obligaciones:

  • El 84% contiene obligaciones de contenido jurídico
  • El 10% contiene obligaciones en materia de medidas técnicas
  • El 6% contiene obligaciones específicas en materia de seguridad

Si relacionamos las obligaciones contenidas en estos 44 artículos y las agrupamos por conceptos, el resultado es el siguiente:

  1. Principios relativos al tratamiento (Artículo 5)
  2. Licitud del tratamiento (Artículo 6)
  3. Condiciones para el consentimiento (Artículo 7)
  4. Consentimiento de menores (Artículo 8)
  5. Categorías especiales de datos (Artículo 9)
  6. Datos relativos a condenas e infracciones penales (Artículo 10)
  7. Tratamientos que no requieren identificación (Artículo 11)
  8. Ejercicio de derechos del interesado (Artículo 12)
  9. Información al interesado en la obtención directa (Artículo 13)
  10. Información al interesado en la obtención indirecta (Artículo 14)
  11. Derecho de acceso del interesado (Artículo 15)
  12. Derecho de rectificación (Artículo 16)
  13. Derecho de supresión (Artículo 17)
  14. Derecho a la limitación del tratamiento (Artículo 18)
  15. Notificación de las acciones relativas a los derechos anteriores (Artículo 19)
  16. Derecho a la portabilidad de los datos (Artículo 20)
  17. Derecho de oposición (Artículo 21)
  18. Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
  19. Limitaciones (Artículo 23)
  20. Responsabilidad del responsable del tratamiento (Artículo 24)
  21. Protección de datos desde el el diseño y por defecto (Artículo 25)
  22. Corresponsables del tratamiento (Artículo 26)
  23. Representantes en la Unión Europea (Artículo 27)
  24. Encargado del tratamiento (Artículo 28)
  25. Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
  26. Registro de las actividades de tratamiento (Artículo 30)
  27. Cooperación con la autoridad nacional (Artículo 31)
  28. Seguridad del tratamiento (Artículo 32)
  29. Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
  30. Comunicación de una violación de la seguridad al interesado (Artículo 34)
  31. Evaluación de impacto (Artículo 35)
  32. Consulta previa (Artículo 36)
  33. Designación del Delegado de Protección de Datos (Artículo 37)
  34. Posición del Delegado de Protección de Datos (Artículo 38)
  35. Funciones del Delegado de Protección de Datos (Artículo 39)
  36. Códigos de conducta (Artículo 40)
  37. Supervisión de los códigos de conducta (Artículo 41)
  38. Certificación (Artículo 42)
  39. Principio general de las transferencias a terceros países (Artículo 44)
  40. Transferencias basadas en una decisión de adecuación (Artículo 45)
  41. Transferencias mediante garantías adecuadas (Artículo 46)
  42. Normas corporativas vinculantes (Artículo 47)
  43. Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
  44. Excepciones para situaciones específicas (Artículo 49)

La distribución de las obligaciones relativas a estos artículos es la representada en el siguiente gráfico:

El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.

El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.

El proyecto de Ley relativo a la nueva LOPD sólo contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional desimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).

Acceso a las conclusiones del análisis