Medidas de seguridad

Medidas

1. Análisis de riesgos.

El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de esos datos, y por el que deroga la Directiva 95/46/CE (RGPD), establece la obligación para el responsable del tratamiento de adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los daros, específicamente su confidencialidad, integridad y disponibilidad.

El RGPD no determina las medidas concretas que hay que adoptar, sino que será cada responsable del tratamiento quien deberá evaluar los riesgos inherentes al tratamiento, y diseñar y aplicar las medidas para eliminarlos o mitigarlos, teniendo en cuenta el estado de la técnica y los costes de la aplicación de las medidas, tales como la reducción al máximo de los tratamientos, la seudonimización de los datos o el cifrado o codificación de la información.

Para poder diseñar e implementar las medidas de seguridad, es necesario realizar un análisis de los riesgos inherentes a los tratamientos de datos. Ese análisis de riesgos de formaliza en un documento que debe conservar el responsable del tratamiento y el delegado de protección de datos de la UAB, para tenerlo a disposición de la Autoritat Catalana de Protección de Datos, en el caso de que fuera requerido.

Cuando se den las circunstancias previstas en el RGPD, y de acuerdo con la relación de supuestos hechos públicos por las autoridades de protección de datos, el responsable del tratamiento deberá formalizar, además un documento de evaluación de impacto, que también deberá estar firmado por el responsable funcional del tratamiento y el delegado de protección de datos de la UAB.

2. Medidas de seguridad.
 
Aunque el RGPD no establece medidas concretas predeterminadas, puede resultar adecuado acudir a las medidas previstas en el RD 1720/2007, de 21 de desembre, que aprueba el Reglamento de desarrollo de la LOPD de 1999:
 

  • Relación actualizada del personal autorizado y de las funciones asignadas en relación con los tratamientos de datos personales
  • Procediment per a la realització de còpies de seguretat i recuperació de les dades
  • Procediment d’identificació i autenticació d’usuaris autoritzats
  • Control y registro de accesos
  • Límit d’intents reiterats d’accessos no autoritzats
  • Procediment d’assignació i gestió de contrasenyes, i periodicitat en la modificació
  • Emmagatzemament inintel·ligible de les contrasenyes actives
  • Gestió de suports
  • Mecanismos que impidan el acceso a la información por parte de personas no autorizadas
  • Procedimiento de registro y notificación de violaciones de seguridad
  • Cifrado, codificación, seudonimización o anonimización de la información
  • Designació d’un responsable de la coordinació, el control i el seguiment de les mesures de seguretat
  • Auditories
  • Mesures de seguretat en la transmissió electrónica de dades

3. Violaciones de seguridad.
Cualquier incidente o circunstancia que pueda poner en cuestión la seguridad de los datos es un incidente o una violación de seguridad.

A título enunciativo, se entiende por violación de seguridad:

  • Destrucción de datos
  • Pérdida accidental o ilícita de datos personales
  • Comunicaciones o accesos no autorizados a los datos
  • Incidencias técnicas que comprometan la seguridad de los datos, su confidencialidad, integridad o disponibilidad

El RGPD establece la obligación de notificar a la Autoridad de protección de datos correspondiente y a las personas interesadas las violaciones de seguridad que comporten o hayan podido suponer un alto riesgo para los derechos y las libertades de las personas físicas, ya sean los titulares de los datos o terceros.

Esa notificación, cuando sea obligatoria, deberá hacerse en un plazo máximo de 72 horas, desde que la violación se haya producido o desde que se haya tenido conocimiento de ella.

Se entiende que las violaciones de seguridad pueden comportar un riesgo para los derechos y las libertades de las personas físicas cuando puedan suponer daños y perjuicios físicos, materiales o inmateriales, como los siguientes:

  • Pérdida de control sobre los datos
  • Restricciones de derechos
  • Discriminación
  • Usurpación de identidad
  • Pérdidas financieras
  • Reversión no autorizada de la seudonimitzación
  • Perjuicios para la reputación
  • Pérdida de la confidencialidad de datos sometidos al secreto profesional
  • Cualquier otro perjuicio económico o social significativo

Para determinar o minimizar los riesgos o las consecuencias negativas de las violaciones de seguridad, el responsable del tratamiento deberá adoptar las medidas técnicas y organizativas que estime adecuadas, que, además de las detalladas en el RD 1720/2007, podrán incluir las acciones siguientes: 

  • Seudonimización o cifrado de los datos de carácter personal
  • Procedimientos para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas de información y tratamiento de los datos
  • Capacidad de restauración de la disponibilidad y el acceso a la información de manera rápida en caso de incidente físico o técnico
  • Procedimiento de verificación, evaluación y valoración de las medidas técnicas y organizativas

4. Documentación de las violaciones de seguridad.
 
Cada responsable funcional del tratamiento deberá llevar un registro de las violaciones de seguridad, que pondrá a disposición del delegado de protección de datos de la UAB i, en su caso, de la Autoritat Catalana de Protecció de Dades.
 
El registro de las violaciones de seguridad podrá formalizarse en papel o por medios telemáticos, y deberá contener, al menos, la información a que hacen referencia los artículos 33 y 34 del RGPD:

  • La naturaleza de la violación de la seguridad de los datos personales
  • Las categorías de datos y el número aproximado de interesados afectados, cuando sea posible
  • Las categorías y el número aproximado de registros de datos personales afectados, cuando sea posible
  • El nombre y los datos de contacto del delegado de protección de datos, u otro punto de contacto en el que pueda obtenerse más información
  • La descripción de las posibles consecuencias de la violación de la seguridad de los datos personales
  • La descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos

Registro de violaciones de seguridad (PDF)

Cuestionario para la elaboración del análisis de riesgos o de la evaluación de impacto en el tratamiento de datos personales en la UAB