Seguridad de los tratamientos

Última modificación:

13 de Noviembre de 2023

El artículo 32 del RGPD impone a los responsables de un tratamiento de datos personales la obligación de determinar y establecer las medidas de seguridad técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo en función del estado de la técnica, los costes de aplicación y, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.

A fin de mantener la seguridad de los tratamientos se exige al responsable evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. En dicha evaluación del riesgo deben tenerse en cuenta los riesgos que atenten contra los derechos y libertades de los interesados, especialmente sus derechos y libertades fundamentales.

Con el objetivo de seleccionar las medidas para gestionar el riesgo para los derechos y libertades, pueden utilizarse estándares de seguridad ya existentes en el mercado como la norma ISO 27000. Por su parte, las Administraciones Públicas deberán utilizar el Esquema Nacional de Seguridad para seleccionar las medidas que deban implantarse para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos. Con carácter general el estándar utilizado implicará:

La realización de un inventario de activos partiendo de la descripción sistemática del tratamiento
La identificación de los riesgos, para los derechos y libertades de los interesados, asociados a los activos que consten en el inventario de activos
La evaluación del riesgo para los derechos y libertades de los interesados
La gestión de riesgos para los derechos y libertades de los interesados a lo largo del ciclo de vida del tratamiento

Con el objetivo de ayudar en el análisis de riesgos orientado a determinar las medidas de seguridad, la AEPD ofrece indicaciones en la guía: Gestión de riesgo y evaluación de impacto en tratamientos de datos personales, en particular en los capítulo VI y VIII.D.