Esta es la tercera de una serie de newletters pensadas para informar sobre los temas clave que las entidades han de tener en cuenta para una correcta adaptación al RGPD. A cada newsletter se destacan 3 aspectos relevantes del nuevo entorno. En este caso se trata el análisis de riesgos, las medidas de seguridad y la revisión de derechos, los contenidos y la forma de ejercerlos. | |
Para ampliar la información, podéis consultar:
|
Tratar datos tiene riesgos. Por riesgos se entiende el tratamiento inadecuado de datos que puede provocar daños y perjuicios físicos, materiales o inmateriales puede privar los intereasdos de derecho y libertades, y les puede impedir ejercer el control sobre los propios datos. Eso se puede agravar cuando afecta categorías especiales de datos, a tratamientos que permitan la evaluación de personas, que afecten a personas vulnerables o que impliquen una gran cantidad de datos y afecten a muchas personas.
El análisis de riesgos es una tarea central y continuada en la protección de datos a partir de la aplicación del RGPD. Por tanto, es necesario –con perfecto conocimiento de los tratamientos que se realizaran, de las categorías de datos que se tratan y de la tecnología que se utiliza– analizar y evaluar los riesgos por los derechos y libertades de las personas afectadas y, especialmente dentro de estos, los riesgos por la seguridad de los datos.
A pesar de que hay guías para llevar a cabo esta tarea (enlace a la guía para el análisis de riesgos de la Agencia Española de Protección de Datos) el punto de partida se tiene que basar en los materiales de que se dispone como son el RAT, el registro de incidencias, los informes de auditoría o las consultas realizadas los Códigos Tipo. La tarea tiene que documentar y ser objeto de revisión continuada.
Una vez analizados los riesgos, hay que tratarlos para modificarlos: a este objetivo se orientan las medidas de seguridad. Hasta ahora estas venían impuestas por la ley, se tenían que aplicar con independencia de su eficacia en un contexto concreto. Ahora se pueden determinar en cada organización o generando estándares sectoriales, siempre sujetos a un proceso de mejora continua: definirlas / evaluarlas / auditarlas / redefinirlas.
Las medidas de seguridad se tienen que formular partiendo de la privacidad desde el diseño (no se pueden pensar las medidas de seguridad una vez un tratamiento ya está implantado, más bien al contrario, la reflexión sobre protección de datos se tiene que incorporar a partir del primer momento en que se diseña una actividad que suponga tratar datos) y la privacidad por defecto (para conseguir una finalidad determinada, cuanto menos datos se traten y durante menos tiempo mejor).
En el punto en el que estamos, se tiene que empezar para mantener las medidas aplicadas hasta día de hoy y, cuando el análisis de riesgos lo aconseje, mejorarlas o substituirlas por otras más eficientes. Es un planteamiento erróneo pensar en eliminar medidas actualmente implantadas sin establecer otras que alcancen mejor el mismo objetivo.
Los hasta ahora conocidos como derechos ARCO (derecho de Acceso, Rectificación, Cancelación y Oposición) siguen vigentes con pocas variaciones. Sólo el derecho de cancelación ha pasado a denominar-se derecho de supresión y tiene un aspecto muy comentado pero dirigido esencialmente a los navegadores de internet y redes; el derecho al olvido, de escaso impacto al sector sanitario y social. Se han incorporado dos nuevos derechos con un previsible impacto residual a los sectores sanitario y social: Portabilidad y limitación del tratamiento.
En todo caso, los principios generales siguen siendo los mismos: facilitar el ejercicio, gratuidad, no limitar el ejercicio por aspectos formales, a ejercer por el interesado o un representante legal o voluntario, y con un plazo general de un mes para dar respuesta. Es recomendable, pero, incorporar a la base de documentos de la organización los nuevos modelos que permitan y faciliten su ejercicio. Desde el Código Tipo se facilita a los adheridos modelos actualizados sobre este ámbito.