Llevamos más de dos años desde que entró en aplicación el “no tan nuevo” y el ya conocido por todos Reglamento (UE) 2016/679, si abreviamos RGPD, o si abreviamos en la lengua de Shakespeare, GDPR, según guste.
Asimismo, y conviviendo con el RGPD, a nivel nacional disponemos de la Ley Orgánica 3/2018 de 5 de diciembre, también llamada LOPD-GDD, que tiene como objetivo adaptar la legislación española a las disposiciones del RGPD, siendo éste el que recoge la posibilidad de que cada Estado Miembro incorpore al derecho nacional el contenido del mismo en la medida en que sea necesario por razones de coherencia y comprensión.
En la propia exposición de motivos de la LOPD-GDD se justifica, por un lado, la promulgación de esta Ley Orgánica como complementaria al RGPD y, por otro, la derogación de la normativa nacional obsoleta con el fin de depurar el ordenamiento jurídico español adaptándolo a las nuevas directrices procedentes de Europa.
Las medidas de seguridad bajo el RGPD
La anterior Ley Orgánica del año 1999 (LOPD), en su artículo 9, establecía la obligación de adoptar medidas que garantizasen la seguridad de los datos y evitasen su alteración o pérdida. En concreto, su Reglamento de Desarrollo (RD 1720/2007) recogía una serie de medidas de seguridad que debían ser implementadas por todos aquellos que llevasen a cabo un tratamiento de datos personales en función del tipo de datos que trataban, todo ello definido en tres niveles: alto, medio y básico.
El principal cambio que trae el RGPD es romper con el anterior sistema paternalista por niveles al que veníamos acostumbrados, desplazando a las empresas toda la responsabilidad de identificar qué medidas de seguridad deben aplicar, pues sólo ellas son conocedoras de los datos que tratan, las finalidades para las que tratan los datos, quién tendrá acceso a los mismos y los riesgos que puede entrañar dicho tratamiento en toda su extensión.
Por lo tanto, bajo el RGPD, no será válida la aplicación automática y por niveles desarrollada en el anterior Reglamento de Desarrollo de la LOPD; salvo que tales medidas de seguridad sean las adecuadas para ofrecer un nivel de seguridad apropiado y así se justifique documentalmente. No obstante lo anterior, dicho listado de medidas de seguridad nos puede resultar útil como punto de partida.
El objetivo final del RGPD es que los responsables y encargados del tratamiento ofrezcan la protección apropiada a la naturaleza de los tratamientos, implementando únicamente aquellas medidas de seguridad verdaderamente adecuadas y efectivas, con el fin de garantizar en todo momento un nivel de seguridad adecuado al riesgo. Sin duda, esto supone una dificultad añadida en la gestión de seguridad y privacidad para las empresas.
El objetivo final del RGPD es que los responsables y encargados del tratamiento ofrezcan la protección apropiada a la naturaleza de los tratamientos, implementando únicamente aquellas medidas de seguridad verdaderamente adecuadas y efectivas, con el fin de garantizar en todo momento un nivel de seguridad adecuado al riesgo.
Todos estos cambios tienen su razón de ser en el principio de accountability o responsabilidad proactiva que gobierna el RGPD. Con ello se pretende que las organizaciones se anticipen y estén preparadas para prevenir cualquier incidencia que pueda acontecer sobre los datos personales antes de que ésta suceda. En este sentido, las empresas garantizarán y demostrarán el cumplimiento de la Ley adoptando medidas que no solo deben de existir y aplicarse, sino también demostrar que funcionan y son efectivas (privacy by desgin).
El principio de accountability o responsabilidad proactiva pretende que las organizaciones se anticipen y estén preparadas para prevenir cualquier incidencia que pueda acontecer sobre los datos personales antes de que ésta suceda
Las medidas técnicas y organizativas a implementar deberán establecerse teniendo en cuenta las siguientes cuestiones:
- el coste de la técnica;
- los costes de aplicación de las medidas de seguridad;
- la naturaleza, alcance, contexto y fines del tratamiento;
- el impacto que para los derechos y libertades de los titulares pueda tener la materialización del riesgo y la probabilidad de que ocurra.
Como punto de referencia podemos acudir a la Guía práctica de análisis para el tratamiento de datos personales, elaborada por la Agencia Española de Protección de datos (AEPD), al listado de medidas y controles del Esquema Nacional de Seguridad (ENS) y a los estándares de la ISO/IEC 27001:2013 y 27002:2013. No obstante, y para hacer una evaluación sobre qué medidas de seguridad son adecuadas o necesarias, deberemos llevar a cabo un análisis de riesgos.
¿Qué es un análisis de riesgos?
Una de las tareas a la que vienen obligados el responsable y el encargado del tratamiento es la de cuantificar las consecuencias de una posible brecha en el sistema de seguridad. Dichas consecuencias siempre traerán efectos negativos para la empresa y se producirán en dos vertientes: la primera para los titulares de los datos de carácter personal, como molestias ocasionadas por la pérdida de datos, exclusión social, dificultades para acceder a un puesto de trabajo o los problemas para contratar determinados servicios; y la segunda para la propia empresa, que abarca desde pérdida de clientes o de información confidencial, hasta daños a la imagen de la empresa y sanciones.
Estas consecuencias se valorarán en el denominado, Análisis de riesgos. Con ello se pretende realizar, por un lado, una valoración objetiva acerca de los riesgos que conlleva el tratamiento que se realiza y, por otro, nos permitirá desarrollar una serie de estrategias para mitigar los riesgos a los que venimos expuestos.
El Análisis de riesgos pretende un valoración objetiva de los riesgos y desarrollar una serie de estrategias para mitigarlos
En mi opinión, el hecho de no tener una referencia por niveles al adoptar las medidas de seguridad es positivo, pues permite decidir en todo momento qué medidas de seguridad se necesitan aplicar. Por ello, será necesario encontrar un equilibrio entre los intereses de los titulares de los datos y el esfuerzo que debe emplear la empresa para amortiguar los riesgos a los que se ve sometido por el hecho de realizar un tratamiento de datos de carácter personal.
El catálogo de riesgos y amenazas no debe permanecer estático. El artículo 25 del RGPD recoge el deber de implementar aquellas medidas de seguridad actualizadas y avanzadas, que sean capaces de impedir ataques actuales. Por tanto, el catálogo de medidas debe alimentarse de la experiencia que adquiera la propia empresa y es requisito indispensable que nuestro análisis de riesgos esté actualizado de forma periódica.
En definitiva, el análisis de riesgos es una herramienta que nos ayuda, por un lado, a cumplir con lo dispuesto en el RGPD y, por otro, llevar a la práctica el principio de responsabilidad proactiva o accountability que rige el RGPD y al que nos referíamos anteriormente.
¿Cómo se elabora un análisis de riesgos?
Los artículos 25 y 32 del RGPD recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los datos de carácter personal objeto de tratamiento. En una primera fase, se identificarán las amenazas las cuales se circunscribirán sobre los tres principios de seguridad: confidencialidad, integridad y disponibilidad. En una segunda fase, se evaluará el riesgo, es decir, la probabilidad de que la amenaza se materialice.
Finalmente, deberemos identificar las medidas de seguridad, técnicas y organizativas, que habrá que implantar para reducir la probabilidad de que la amenaza que hemos identificado previamente se materialice. Para ello, será indispensable determinar cuáles serán las medidas de seguridad a adoptar para cada riesgo. Por ejemplo, a través de escalas cuantitativas o cualitativas se pueden establecer valores objetivos para cada riesgo.
El análisis de riesgos debe contemplar tres fases: amenazas, evaluación del riesgo y medidas de seguridad técnicas y organizativas para cada riesgo
Será recomendable y absolutamente necesario que en esta tarea involucraremos a toda la organización, de modo que podamos tener una visión fiel del tratamiento de datos que se lleva a cabo en la empresa, identificando las amenazas y los riesgos a los que nos vemos sometidos.
Finalmente, y tal y como exponíamos anteriormente, la valoración del riesgo debe ser dinámica; por consiguiente, será necesario hacer un seguimiento del riesgo a través de auditorías e informes, pues cualquier cambio que se produzca en el tratamiento de los datos de carácter personal y que implique una modificación del riesgo, producirá un cambio en las medidas de seguridad a aplicar en la empresa.
Recomendaciones
Para cumplir con las exigencias de la nueva normativa será necesario elaborar un análisis de riesgos y adoptar aquellas medidas de seguridad, tanto organizativas como técnicas, que sean adecuadas y necesarias. Para ello se debe contar con profesionales de diferentes aéreas, entre otros, informáticos y técnicos expertos en normativa de protección de datos. Además, sería altamente recomendable nombrar a un responsable interno en materia de privacidad y contratar un servicio externo para resolver consultas de tipo legal.