Medidas de seguridad que debemos adoptar con el nuevo RGPD

La normativa vigente hasta ahora establecía con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. En cambio, con el nuevo RGPD esta cuestión se modifica.

A partir de ahora, y tanto si usted es el responsable como el encargado del tratamiento, sigue estando obligado a adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, según los riesgos que se hayan detectado al realizar el análisis previo.

Sin embargo, el nuevo RGPD no especifica qué medidas de seguridad concretas hay que aplicar en cada caso, sino que éstas se deben determinar por el responsable o por el encargado según diversas variables: el estado de la técnica, los riesgos que existan para los derechos y libertades de los interesados, la naturaleza, el alcance, el contexto y los fines del tratamiento y los costes de aplicar las medidas.

No obstante, la propia AEPD ha señalado que, en algunos casos, se pueden seguir aplicando las mismas medidas de seguridad que establece la normativa hasta ahora vigente si del análisis de riesgos se concluye que dichas medidas son idóneas para ofrecer un nivel de seguridad adecuado (en caso contrario, será necesario completar dichas medidas o prescindir de alguna de ellas).

Niveles de seguridad

En muchos casos se pueden seguir aplicando las mismas medidas de seguridad que establecía el Reglamento de Desarrollo de la LOPD, si estas ya ofrecen un nivel adecuado de seguridad. Por tanto, recuerde que dicha norma establece tres niveles de seguridad (básico, medio y alto), dependiendo de la naturaleza de los datos personales tratados.

Estos niveles de seguridad son acumulativos. Por tanto:

  • Los ficheros o tratamientos de datos de carácter personal de nivel básico sólo deben adoptar las medidas de seguridad de nivel básico.
  • Los ficheros y tratamientos de datos de nivel medio deben adoptar tanto las medidas de seguridad de nivel básico como las de nivel medio.
  • Los ficheros y tratamientos de datos de nivel alto deben aplicar las medidas previstas en los niveles básico, medio y alto.