¿Qué medidas hay que tomar para custodiar los datos de los clientes? (Expansión)
20.07.18
_
- O. MADRID 16 JUL. 2018 – 11:49
Hay tres niveles de seguridad, en función de las características de los ficheros de datos. Las empresas tienen 72 horas para notificar brechas de seguridad y los afectados pueden recurrir a la AEPD.
El nuevo reglamento de protección de datos implica algunos cambios relevantes en materia de seguridad. La legislación vigente hasta el 25 de mayo establecía con detalle y de manera exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos que fueran objeto de tratamiento en cada caso. Sin embargo, con el nuevo RGPD, esta cuestión se modifica.
Dentro del nuevo contexto normativo, el responsable del tratamiento de los datos personales de los clientes sigue estando obligado a adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos. No obstante, el RGPD no especifica qué medidas de seguridad concretas hay que aplicar en cada caso y deja en manos del responsable de la gestión de los datos determinar qué herramientas utilizar en función de diversas variables; entre ellas, por ejemplo, los riesgos que existan para los derechos y libertades de los interesados, la naturaleza, el alcance, el contexto y los fines del tratamiento y los costes de aplicar las medidas.
La propia Agencia Española de Protección de Datos (AEPD) ha señalado que, en algunos casos, se pueden seguir aplicando las mismas medidas de seguridad que establece la normativa vigente hasta el pasado 25 de mayo, si del análisis de riesgos se concluye que dichas medidas son idóneas para ofrecer un nivel de seguridad adecuado. En caso contrario, será necesario completar dichas medidas o prescindir de algunas de ellas.
El RGPD establece tres niveles de seguridad (básico, medio y alto) dependiendo de la naturaleza de los datos personales tratados. Estos niveles de seguridad son acumulativos. Por lo tanto, los ficheros o tratamientos de datos de carácter básico sólo deben adoptar medidas de seguridad de nivel básico; lo mismo ocurre con los datos y ficheros de nivel medio y con los de nivel alto. Pero, ¿cómo saber a qué nivel de seguridad corresponde cada dato o fichero?
Nivel Alto
Son ficheros o tratamientos de nivel alto, entre otros, los que se refieren a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Una de las prácticas que se tiene que poner en marcha para tratar los ficheros de nivel alto es, por ejemplo, el registro de accesos: con esta medida queda una huella digital de todas las personas que hayan intentado acceder o hayan accedido a los datos en cuestión. Esta huella permite conocer la identidad de la persona que ha intentado acceder al fichero, la hora y la fecha del acceso y si tenía autorización para ello o no.
Nivel Medio
Son ficheros o tratamientos de nivel medio, por ejemplo, los relativos a la prestación de servicios de solvencia patrimonial y créditos; también lo son aquellos de los que sean responsables las entidades financieras relacionadas con la prestación de servicios financieros y aquellos que contengan un conjunto de datos que ofrezcan una definición de las características o de la personalidad de los clientes.
Una de las medidas que se deben implantar para el tratamiento de estos datos de nivel medio de seguridad es la realización de una auditoría (que puede ser interna o externa) cada dos años con el fin de verificar que se cumplen las medidas de seguridad que exige la nueva normativa de protección de datos.
Nivel Básico
Son ficheros que contienen datos personales que no pertenezcan al nivel medio ni al alto. También se consideran datos de nivel de seguridad básico los datos personales de nivel medio o alto que se encuentran en manos de una empresa de manera accesoria o accidental. Por ejemplo, los datos sobre alergias alimentarias de los clientes de un hotel.
Una de las medidas que hay que adoptar para el tratamiento de este tipo de ficheros es establecer un procedimiento de asignación de contraseñas y que éstas se cambien al menos una vez al año.
Aunque el nuevo RGPD no lo exige de forma expresa, es aconsejable que se confeccione un documento de seguridad: se trata de un documento que recoge las actuaciones que se están llevando a cabo en materia de seguridad y que debe mantenerse actualizado para poder exhibirlo ante la AEPD en caso de inspección.
Cualquier vulneración de estas medidas de seguridad puede ser recurrida por el cliente o consumidor afectado. En primera instancia, el recurso se presentará ante el responsable de protección de datos de la compañía en cuestión; en caso de que no se ofrezcan las soluciones oportunas, el paso siguiente consiste en presentar el caso ante la AEPD que es, en España, el organismo que se encarga de vigilar la aplicación del nuevo reglamento.
Las empresas tienen un plazo de 72 horas para notificar cualquier brecha de seguridad que afecte a datos personales.