En el RGPD no se detallan de forma exhaustiva las medidas de seguridad y se establece que los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas, para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis de riesgos previo que cada empresa debe efectuar, además, deberán estar en condiciones de demostrar la aplicación de las mencionadas medidas, es lo que viene a llamarse responsabilidad pro-activa.
Las medidas técnicas y organizativas deberán establecerse teniendo en cuenta:
– El coste de la técnica a aplicar
– Los costes de aplicación de la misma
– La naturaleza, el alcance, el contexto y los fines de tratamiento
– Los riesgos para los derechos y libertades de los ciudadanos
En algunos muchos casos los responsables también podrán seguir aplicando las mismas medidas que establecía la LOPD, si en los resultados del análisis de riesgo previo efectuado concluyen que las medidas son aún adecuadas.
Algunas de las medidas a aplicar pueden ser:
– Seudonimización y cifrado de datos personales.
– Tener la capacidad de garantizar confidencialidad, integridad, disponibilidad permanente de los sistemas de tratamiento.
– Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia.
– La verificación periódica de la eficacia de las medidas aplicadas.
Nota:
La aplicación de medidas estará siempre en consonancia con el nivel de riesgo de las mismas.
