Recientemente, el Tribunal Supremo ha dictado una sentencia relevante para la seguridad de los datos personales.
En este sentido, el Tribunal Supremo manifiesta que la obligación del responsable por mantener la seguridad de los datos es una obligación de medios y no de resultados. Es decir, a la hora de exigir responsabilidades, no puede hacerse sobre el hecho ya producido, sino sobre la diligencia de la implementación de las medidas.
Como responsables de la seguridad de la información tenemos que aplicar las medidas de seguridad en nuestra entidad teniendo en cuenta dos fases:
- A) Análisis de la adecuación de medidas: En esta fase verificaremos que las medidas se ajustan al análisis de riesgos previo, que en la selección de medidas se han tenido en cuenta la probabilidad y el impacto de los riesgos identificados y en esta primera fase, además, comprobaremos que las medidas se han implantado de forma completa.
- B) Análisis de la efectiva aplicación de las medidas: en esta segunda fase verificamos que las medidas se han implantado de forma completa, que están activas y siguen siendo las idóneas y que con su implantación evitan razonablemente las brechas de seguridad que puedan producirse.
IMPORTANTE
No basta con diseñar medios técnicos y organizativos necesarios, se hace imprescindible su correcta implementación y utilización.
