Legal  - 

Medidas de seguridad que debes tomar de cara al GDPR

El próximo 25 de mayo empezará a aplicarse una nueva normativa de protección de datos que introduce importantes cambios en esta materia. ¿Afectan dichos cambios a las medidas de seguridad que debe implantar su empresa?

Redactado por
(0) Escribir comentario

Medidas de seguridad

La actual normativa establece con detalle las medidas de seguridad que deben aplicarse según los datos tratados:

- Nivel alto . Si una empresa trata datos personales sobre origen racial, salud, ideología o religión, debe adoptar las medidas de seguridad de nivel alto (por ejemplo, un registro de accesos que deje constancia del usuario que intenta acceder a los datos, la hora en que lo hace, etc.).

- Nivel medio . Si una empresa trata datos para prestar servicios de solvencia patrimonial y créditos, debe aplicar las medidas de nivel medio (por ejemplo, realizar una auditoría cada dos años para verificar que se cumplen las medidas de seguridad obligatorias).

- Nivel básico . Cualquier tratamiento de datos distinto a los indicados requiere medidas de seguridad de nivel básico (la mayoría de empresas se encuentran en este nivel). Una de estas medidas consiste en asignar contraseñas para acceder a los ordenadores donde se almacenan datos personales y cambiarlas al menos una vez al año.

Acumulativo. Estos niveles de seguridad son acumulativos. Por tanto, si usted está en el nivel básico sólo debe aplicar las medidas de este nivel. Pero si está en el medio debe aplicar las medidas del nivel básico y las del medio, y si está en el nivel alto debe aplicar las medidas de seguridad de los tres niveles.

Nuevo reglamento

Pues bien, con la nueva normativa, que se aplicará a partir del 25 de mayo, esta cuestión cambia:

-Su empresa seguirá obligada a adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos.

-Pero la nueva norma ya no especifica qué medidas concretas debe aplicar: será usted quien deba determinarlas en función de diversas variables (las finalidades para las que trata los datos personales, los riesgos que existan para los derechos de los afectados, etc.).

En definitiva, cada empresa, bajo su responsabilidad, debe establecer las medidas que crea apropiadas. En todo caso, no se alarme: la propia Agencia Española de Protección de Datos (AEPD) ha señalado que en algunos casos se pueden seguir aplicando las medidas actuales (que hemos indicado más arriba). Vea, por tanto, cómo debe actuar.

GDPR
Es probable que pueda seguir aplicando las mismas medidas que hasta ahora

Caso 1: bajo riesgo. Si su empresa trata datos de escaso riesgo (de clientes, de proveedores y de trabajadores, por ejemplo), acceda a la herramienta gratuita denominada “ Facilita ” que ha creado la AEPD y que encontrará en su página web (http://www.agpd.es). Esta herramienta le preguntará su sector de actividad, el tipo de datos personales que trata, etc. (para confirmar que son de escaso riesgo), y seguidamente le facilitará (entre otros documentos) un listado de las medidas de seguridad que debe aplicar.

Caso 2: otros casos. Si su empresa no puede utilizar esta herramienta (porque los tratamientos de datos que realiza no son de escaso riesgo), deberá realizar un análisis de riesgos para determinar las medidas de seguridad a adoptar. En la página web de la AEPD antes indicada encontrará una guía para realizar este análisis (Guía práctica de análisis de riesgos).

En conclusión, la nueva normativa ya no indica qué medidas deben adoptarse ; es cada empresa la que debe determinarlas. Pero si trata datos de escaso riesgo (que es lo habitual), es probable que pueda seguir aplicando las mismas medidas que hasta ahora.

25 de Mayo: De la LOPD al RGPD

COMENTAR ESTA NOTICIA

Enviar comentario