Una semana más abordamos el análisis de los principios recogidos en el RGPD.
Como ya hemos indicado en anteriores posts, el artículo 5 de la norma europea establece los “Principios relativos al tratamiento”.
En el apartado f del citado artículo, se establece que “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”, es decir lo que denomina «integridad y confidencialidad».
Lo que viene a decir el RGPD, y así lo detalla en el considerando 39, es que las medidas deben ir orientadas a impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.
Se refuerza este principio en el considerando 49 del RGPD, el cual viene a decir que el tratamiento de datos personales se realizará en la medida estrictamente necesaria y proporcionada para garantizar la seguridad de la red y de la información, es decir, la capacidad de una red o de un sistema información de resistir, en un nivel determinado de confianza, a acontecimientos accidentales o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos personales conservados o transmitidos (…).”
Además añade que: “en lo anterior cabría incluir cabría incluir por ejemplo, impedir el acceso no autorizado a las redes de comunicaciones electrónicas (..) y frenar ataques de denegación de servicio y daños a los sistemas informáticos y de comunicaciones electrónicas.
Por otro lado, y en el artículo 32 del RGPD donde se habla de la seguridad de los datos, se vuelve a incidir en este principio: (…) el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: (…) la capacidad de garantizar la confidencialidad, integridad (…)”.
Como conclusión podríamos decir que responsables y encargados de tratamiento deberán analizar y evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, garantizando un nivel de seguridad adecuado teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse.
