Medidas de seguridad en el Reglamento Europeo

Seguridad y protección de datos

Como sabemos, el RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD), regula un número significativo de medidas técnicas de seguridad que los responsables de fichero han de poner en práctica para hacer efectivo el Derecho a la protección de datos de carácter personal. A nadie se le escapa que dicho Derecho quedaría en nada si no viniera respaldado por un mínimo de seguridad.

Como no podía ser de otra forma, al legislador europeo también le ha preocupado especialmente este tema. Así, en el considerando 78 del nuevo Reglamento Europeo se indica que es necesaria la adopción de medidas técnicas y organizativas que garanticen el cumplimiento de los requisitos del propio Reglamento. Se hace una relación de qué tipo de medidas pueden ser estas; a saber:

  1. Reducir al máximo el tratamiento de datos personales.
  2. Seudonimizar lo antes posible los datos personales.
  3. Dar transparencia a las funciones y el tratamiento de datos personales.

El considerando 81 incide, por otro lado, en la necesidad de que el responsable de fichero que contrata a un encargado de tratamiento, recurra únicamente a encargados que ofrezcan suficientes garantías (conocimientos especializados, fiabilidad, y recursos de cara a la aplicación de medidas técnicas y organizativas propias del reglamento, entre ellas, la seguridad, por supuesto).

Además, la relación con este encargado de tratamiento (como ya dispone nuestro artículo 12 LOPD), debe constar en un contrato escrito con un contenido definido por la norma.

Por tanto, hay que ser muy cautelosos a la hora de contratar a un prestador de servicios que vaya a tratar datos de nuestros clientes (por ejemplo: un asesor fiscal), y elegir a aquellos que cumplan la normativa de protección de datos.

En el considerando 83, nos dice el Reglamento Europeo que el responsable de ficheros debe evaluar los riesgos propios del tratamiento y aplicar medidas para mitigarlos, como el cifrado, y el 85, se impone la obligación de notificar –en un plazo de 72 horas- a la autoridad de control competente las violaciones se seguridad que puedan producirse (también se habrá de notificar al propio perjudicado).

Por su parte el considerando 90 establece que en determinados casos, los responsables de fichero tendrán que realizar una evaluación de impacto sobre protección de datos para valorar la particular gravedad y probabilidad del alto riesgo.

Adaptación Reglamento Europeo Protección de Datos

Reglamento Europeo Protección de Datos
Reglamento Europeo Protección de Datos

 

La Agencia Española de Protección de Datos (AEPD), publicó el pasado 29 de julio de 2016, una nota de prensa titulada IMPLICACIONES PRÁCTICAS DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA ENTIDADES EN EL PERIODO DE TRANSICIÓN. Veamos un resumen de lo que se ha dicho, ya que sin duda, afecta a profesionales, empresas y organizaciones para su adecuación futura al Reglamento europeo:

1º. La AEPD recomienda que las empresas se vayan adaptando a la nueva situación, aunque el reglamento no se aplique hasta 2018.

2º. Se ha de tener en cuenta que el consentimiento que las personas otorguen para tratamiento de sus datos, deberá ser siempre expreso, claro e inequívoco. Los consentimientos tácitos que pudieran existir, dejarán de tener validez, por lo que siempre se habrán de obtener de forma expresa.

3º. Las cláusulas informativas sobre protección de datos, se han de revisar, con objeto de adaptarlas al Reglamento.

4º. En algunas organizaciones se hace obligatoria la realización de un informe de evaluación de impacto. Se habrá de revisar si procede en cada caso.

5º. Se prevé la emisión de certificaciones en materia de protección de datos, al igual que ya se viene haciendo con temas como calidad o medio ambiente.

6º. Se crea la figura del Delegado de Protección de Datos. No se aclara de momento si este delegado debe cumplir algún requisito profesional. No obstante, la AEPD entiende que servirá que se acredite ser profesional con conocimiento y experiencia en la materia.

7º. Se han de revisar los contratos de encargados de tratamiento, para adaptarlos al Reglamento. La Agencia emitirá más adelante, recomendaciones al respecto.

8º. No obstante, se ha de seguir atento a las instrucciones de la AEPD, pues según la misma manifiesta:

La AEPD está trabajando en la preparación de herramientas que ayuden a responsables y encargados al entendimiento y cumplimiento del Reglamento. Entre ellas, hay que destacar un recurso online orientado a las pymes que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo nivel de riesgo. 

Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.

La AEPD está trabajando junto a las Agencias autonómicas en cláusulas informativas adaptadas al nuevo Reglamento para sectores o tratamientos diferenciados. Así, está previsto ofrecer una serie de recomendaciones o criterios para ayudar a reflejar los distintos puntos que el Reglamento exige en la información.

INVALIDEZ ACUERDO PUERTO SEGURO

Acuerdo de Puerto Seguro

Con mucha frecuencia, empresas y profesionales recurren en la actualidad al uso de sistemas de almacenamiento de datos en la llamada “nube” de internet, para llevar a cabo copias de seguridad on line, entre otros muchos ejemplos.

En estos casos, se plantea muchas veces la situación de estar transfiriendo datos personales a terceros países, ya que los servidores físicos de esas “nubes” se encuentran fuera de España.

Un supuesto muy utilizado y conocido es DROPBOX, que cuenta con servidores en Estados Unidos.

Las transferencias internacionales de datos se regulan expresamente en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal. La norma general es que no están permitidas, salvo que se hagan a países que garanticen un nivel de protección equiparable al de la propia normativa española o estén autorizadas por la Agencia Española de Protección de Datos (artículo 33 LOPD).

No obstante, el artículo 34 LOPD, establece ciertas excepciones, de manera que –por ejemplo- para las transferencias de datos a terceros países cuando la empresa prestadora del servicio se había adherido al acuerdo de PUERTO SEGURO, no era necesario ningún requisito especial (autorización del Director de la Agencia).

Empresas como DROPBOX, están adheridas a dicho acuerdo, por el que se venía entendiendo que proporcionaba un nivel de seguridad suficiente y equiparable al de nuestro país.

Pero esta situación ha cambiado recientemente, a consecuencia de la Sentencia del Tribunal de Justicia de la Unión Europea, publicada el pasado 6 de octubre, y que anula la Decisión de la Comisión 2000/520/CE, que estableció el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro.

La consecuencia práctica es que ya no se puede entender que la transferencia internacional de datos que hacemos –por ejemplo nuevamente- mediante DROPBOX sea 100% lícita sin más garantías adicionales.

¿Quiere esto decir que no podemos seguir usando DROPBOX y sistemas asimilados?

Rotundamente, no.

Pero habrá que analizar en cada caso, para empezar, las excepciones del artículo 34 LOPD, por si pudiera darse alguna de ellas.

Ningún problema de plantea, por otra parte, cuando la transferencia se realiza a países miembros de la Unión Europea (artículo 34-k LOPD) o cuando el afectado haya prestado su consentimiento inequívoco para llevarla a cabo (artículo 34-e LOPD).

Insisto, por tanto, en la importancia de llevar a cabo una revisión y análisis en cada caso, para comprobar si la transferencia se está haciendo de forma correcta y si es necesario o no algún cambio o replanteamiento del sistema.