Una vez publicada el pasado jueves 6 de diciembre en el Boletín Oficial del Estado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD o nueva LOPD) con entrada en vigor el día 7 de diciembre del presente año, aprobada con un amplio consenso en las Cortes y una participación de prácticamente de todos los partidos políticos del arco parlamentario (ley conformada de 97 artículos, 22 disposiciones adicionales, 6 disposiciones transitorias, 16 disposiciones finales y una derogatoria), como complemento al Reglamento General de Protección de Datos (RGPD), entre muchos otras novedades y que muchas de ellas requieren de un análisis especifico y detallado, creemos que se ha dado respuesta a una duda muy recurrente en las adecuaciones a dicha normativa, y que es la pregunta que siempre se formula ¿qué medidas de seguridad debo cumplir?
Empezando por el principio, debemos dividir la pregunta en dos consideraciones previas: disponer de una metodología de análisis de riesgos en privacidad y de un marco propio de medidas de seguridad. Una vez dispongamos de éstos dos aspectos clave, para dar respuesta a la pregunta inicial, debemos seguir un procedimiento compuesto de dos fases: en primer lugar debemos analizar el riesgo que supone cada tratamiento siguiendo la metodología establecida, y a continuación decidir las medidas de seguridad concretas a aplicar en base a nuestro marco establecido.
Hoy aún, estamos acostumbrados al anterior reglamento de desarrollo de la vieja LOPD (RD1720/2007, de 21 de diciembre), que en base a la tipología concreta de datos que se trataban, éste marcaba un nivel de riesgo concreto (bajo, medio o alto) y en función de éste, directamente se debía aplicar un decálogo cerrado de medidas de seguridad, donde por cierto, alguna de las cuales debido al paso del tiempo y a los avances tecnológicos han quedado claramente obsoletas. Ahora el Responsable del Tratamiento debe determinar bajo su criterio y con la metodología escogida, qué riesgo supone llevar a cabo cada tratamiento, y además se debe hacer en base a los riesgos para los derechos y libertades de las personas (diferente a los análisis de riesgos en seguridad que algunos estaban, más o menos, acostumbrados a llevar a cabo) y decidir las medidas concretas a adoptar. La antigua concepción y sus reglas predeterminadas es lo primero que debemos eliminar.
En primer lugar, en base a las metodologías de análisis de riesgos conocidas, las directrices apuntadas en el RGPD, en la nueva LOPDGDD y en las diferentes guías publicadas por las autoridades de protección de datos, debemos definir nuestra propia metodología que permita analizar la existencia de riesgos que puedan provocar daños y perjuicios físicos materiales o inmateriales, y su probabilidad y gravedad de concreción.
En el artículo 24 del RGPD (Responsabilidad del Responsable del Tratamiento), se exige que el responsable atendiendo a la naturaleza, ámbito, contexto y finalidad del tratamiento, así como los riesgos para los derechos de las personas, aplique las medidas técnicas y organizativas apropiadas. Aquí aparece el segundo problema, en la determinación de las medidas de seguridad apropiadas para garantizar la seguridad en los tratamientos y que viene regulada en el artículo 32 del RGPD.
Sin embargo, el artículo 28 de la ley orgánica indica que los responsables y encargados de tratamiento deberán dar cumplimiento al reglamento, la ley orgánica, sus normas de desarrollo y la legislación sectorial, determinando las medidas técnicas y organizativas apropiadas para el tratamiento teniendo en cuenta los mayores riesgos que podrían producirse a su juicio teniendo como referencia estándares, códigos de conducta y una serie de supuestos que se enumeran en dicho artículo.
Adicionalmente, tal y como indica la disposición décimo octava relativa a criterios de seguridad, la Agencia Española de Protección de Datos elaborará diferentes herramientas, guías, directrices y orientaciones para proporcionar pautas adecuadas para el cumplimiento de las obligaciones de responsabilidad activa establecidas en el Título IV del Reglamento y en el Título V de esta ley orgánica relativos a responsable y encargado del tratamiento.
En caso del Sector Público, la nueva LOPD en su disposición primera establece el Esquema Nacional de Seguridad (ENS) como el elemento idóneo para garantizar las medidas de seguridad técnicas y organizativas que exige el RGPD en el ámbito del sector público y en las empresas vinculadas al mismo sujetas al derecho privado.
En consecuencia, desde el pasado jueves, fecha en la que se ha publicado la LOPDGDD, y en todo caso, en la medida que se considere, desde BDO y con el conocimiento que otorga la acreditación obtenida por parte de ENAC para auditar y certificar los sistemas de seguridad de las compañías con referencia a los estándares de Esquema Nacional de Seguridad, creemos que el marco de medidas de seguridad del ENS puede ser una buena referencia de partida para establecer el marco propio de medidas de seguridad de una entidad. Un paso más, con un enfoque a riesgo y de acuerdo a la responsabilidad proactiva exigida en la normativa de privacidad.
