El tratamiento de los datos personales de las personas físicas a las que se aplica el RGPD requiere que se haga con unas medidas técnicas y organizativas que garanticen una adecuada seguridad incluyendo la confidencialidad de los datos.
A lo largo de la lectura del RGPD y de sus considerandos, encontramos muchas referencias a esa obligación, por parte del responsable, de mantener la seguridad aplicando medidas técnicas y organizativas adecuadas. Ahora cabe preguntarse, cómo puede conocer la entidad cuáles son esas medidas.
Lo primero que se tiene que realizar es un exhaustivo análisis de los riesgos que ese tratamiento puede ocasionar. Para ello tenemos que definir los activos involucrados en el proceso de tratamiento de datos, sus vulnerabilidades y las amenazas a las que se encuentran expuestos. El responsable tiene que aplicar unas medidas adecuadas, según el resultado de la probabilidad de que ocurran las amenazas y el daño que producirían.
En el art.32 del RGPD se recoge un listado de medidas que han de aplicarse. La seudonimización, el cifrado de datos personales, una evaluación periódica de la eficacia de las medidas y la capacidad de garantizar la confidencialidad y recuperación de los datos, entre otras.
IMPORTANTE
Se considera una infracción grave en la LOPDGDD la falta de adopción de medidas técnicas y organizativas para garantizar la seguridad del tratamiento.