Cuando tiene lugar un incidente de seguridad en una empresa, lo primero que hay que hacer es valorar la idoneidad de las medidas de seguridad técnicas y organizativas aplicadas tras el análisis correspondiente, todo ello con el fin de que no vuelva a producirse, adaptando las existentes o ampliándolas.
Mucho se ha insistido desde nuestras publicaciones en la importancia de la valoración del riesgo de los tratamientos de datos que lleve a cabo una empresa para los derechos y libertades de los afectados, ya que de ello dependerá la determinación de las medidas de seguridad a implementar, teniendo en cuenta que no se ha establecido un listado de medidas ni en el Reglamento General de Protección de Datos ni en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
En la normativa de referencia, se establecen las bases para su determinación, en el sentido de que las medidas de seguridad deberán garantizar, en cualquier caso, la integridad y confidencialidad de los datos personales, evitando su alteración, pérdida, tratamiento o acceso no autorizado, en función de los riesgos asociados a su tratamiento, valorando entre otros, los siguientes factores:
- Los tipos de tratamiento
- La naturaleza de los datos
- El número de interesados afectados
- La cantidad y variedad de tratamientos que se realicen
Asimismo, las medidas que deberán adoptarse incluirán, en particular, aquellas que puedan garantizar tanto la seudonimización como un cifrado adecuados, en su caso, así como medidas para proteger la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas en caso de incidente físico o técnico.
Son varios los informes jurídicos y publicaciones de la Agencia Española de Protección de Datos que desarrollan dicha cuestión. En este sentido, es interesante consultar el razonamiento seguido por dicha entidad en el procedimiento sancionador PS/00354/2020 seguido contra un abogado que dejó junto a unos contenedores de basura dos bolsas de plástico con documentación, entre la que se encontraba escrituras, poderes notariales, sentencias de órganos judiciales… Finalmente, se le sanciona con un apercibimiento por quebrantamiento de las medidas técnicas y organizativas que se hubiesen implantado, como consecuencia de la falta de la debida diligencia. A tales efectos, se le requiere que revise sus procedimientos para evitar que vuelva a producirse dicho incidente.
Por tanto, desde aquí animo a que las empresas revisen todos los elementos que formen parte de la cadena de tratamiento de la información, con el fin de valorar la adecuación de las medidas de seguridad técnicas y organizativas implementadas y evitar incidentes de seguridad con unos protocolos adecuados.
Autora: S. Torres