Seguridad de la información en el RGPD

Seguridad de la información en el RGPD2019-06-19T19:56:04+00:00

¿Conoces los requisitos de seguridad de la información en el RGPD? En esta sección podrás informarte de qué debes hacer para proteger los datos en tu organización.

Infografía sobre los requisitos de seguridad de la información en el RGPD
 
Ver

Artículos relacionados:

Principio de seguridad de la información

El principio de seguridad de la información requiere que los datos personales sean tratados “de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Este principio, presente en el artículo 5.1.f, se concreta en el artículo 32 del RGPD, que establece los criterios que deberás tener en cuenta en el momento de seleccionar las medidas de seguridad de la información. Estos son:

  • el estado de la técnica,
  • los costes de aplicación,
  • la naturaleza, alcance, contexto y fines del tratamiento, y
  • los riesgos para los derechos y libertades de las personas físicas.

No obstante, antes de seleccionar las medidas de seguridad, deberás determinar qué nivel de seguridad requiere tu organización.

Qué nivel de seguridad de la información requiere el RGPD

Siguiendo la praxis de la industria de seguridad de la información, el RGPD establece que, para determinar el nivel de seguridad, deberás tener especialmente en cuenta los riesgos que presente el tratamiento de datos para la confidencialidad, integridad y disponibilidad de la información:

Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

A la práctica, ello implica que deberás adoptar un sistema para gestionar los riesgos de la seguridad de la información en tu organización.

Gestión de riesgos

La gestión de riesgos se define como un proceso iterativo enfocado en identificar las vulnerabilidades y amenazas para los activos de la información que son utilizados por una organización para alcanzar sus objetivos de negocio, y decidir qué medidas son necesarias para reducir el riesgo a un nivel aceptable, según el valor de ese activo para la organización.

Existen varias maneras de gestionar los riesgos en tu organización y deberás optar por una u otra según tus necesidades, tratamientos y presupuesto. Algunos de los mejores estándares son la ISO/IEC 27001/2013, que trata la seguridad de la información, y la ISO/IEC 31000/2018, que trata la gestión de riesgos.

La ISO 27001 en un sistema de gestión de la seguridad de la información (SGSI) que se basa en el círculo de deming (planificar-hacer-verificar-actuar) y se puede certificar. Este estándar es extremadamente adecuado para dar cumplimiento al RGPD, pues tanto el Reglamento como la ISO 27001 están centrados en la gestión de riesgos.

Según la ISO 27001, para gestionar los riesgos deberás:

  1. Identificar los activos de la información en tu empresa (personal, instalaciones, hardware, software, …), las amenazas a que estos se encuentren expuestos y sus vulnerabilidades;
  2. Calcular la probabilidad de que una amenaza se aproveche de una vulnerabilidad para comprometer la confidencialidad, integridad o disponibilidad de la información;
  3. Evaluar el impacto que la materialización de la amenaza tendría para la confidencialidad, integridad y disponibilidad;
  4. Determinar el nivel de riesgo, combinando la probabilidad y el impacto;
  5. Asignar responsables a cada activo; y
  6. Definir el apetito de riesgo, es decir, fijar qué nivel de riesgo es aceptable.

Una vez conoces los riesgos a los que se expone tu información y has trazado la línea que define tu apetito de riesgo, deberás planificar su tratamiento, explicando qué riesgos se van a tratar, su nivel, las acciones propuestas, el responsable de la implementación, los recursos necesarios. El riesgo se puede tratar de las siguientes formas:

  • evitar el riesgo;
  • mitigar el riesgo;
  • transferir el riesgo; y
  • asumir el riesgo.

Cuando decidas no asumir un riesgo, deberás adoptar las medidas de seguridad apropiadas para evitar, mitigar o transferir el riesgo. Una vez tratado el riesgo, este dará un riesgo residual, que debería ser inferior. El riesgo residual también debe ser evaluado y, en su caso, aceptado.

Esta es, en esencia, la metodología de análisis y planificación de riesgos de la ISO 27001, salvando algunos requisitos que he omitido y que son necesarios observar si deseas certificarte. Ahora bien, para cumplir el principio de seguridad de la información no es necesario que te certifiques, ni que adoptes íntegramente la ISO.

Lo que el RGPD pide de ti es que evalúes los riesgos para la confidencialidad, integridad y disponibilidad de la información e implementes las medidas de seguridad necesarias para proteger la información.

Cómo seleccionar las medidas de seguridad técnicas y organizativas apropiadas

El RGPD exige que adoptes las “medidas de seguridad técnicas y organizativas apropiadas”. Por ello, para cumplir las obligaciones del Reglamento en seguridad de la información deberás tener en cuenta todas las circunstancias relevantes entorno a tu organización, como su ubicación, los equipos informáticos, los proveedores y clientes, el número y formación de los empleados, su acceso a recursos y los tratamientos que llevas a cabo.

Todas estas cuestiones deben ser tenidas debidamente en cuenta al evaluar los riesgos para la información, y será el elemento principal en que te bases para seleccionar las medidas de seguridad adecuadas. No obstante, también deberás tener en cuenta:

  • el estado de la técnica
  • los costes de aplicación
  • la naturaleza, alcance, contexto y fines del tratamiento
  • los riesgos para los derechos y libertades de las personas físicas

Las buenas prácticas en seguridad de la información rara vez son recogidas en una disposición legal, pues se encuentran en constante cambio para adaptarse a las nuevas amenazas y vulnerabilidades. Estas son, en cambio, publicadas por la industria de seguridad de la información, como INCIBE (España), o el NIST (EEUU). Es por ello que el RGPD establece que debe tenerse en cuenta el estado de la técnica en el momento de elegir los controles.

Por lo que se refiere a la naturaleza, alcance, contexto y fines del tratamiento y los riesgos para los derechos y libertades de las personas físicas, deberás tener en cuenta el ciclo de vida de los datos personales y las medidas adoptadas para asegurar que el tratamiento cumple con los principios de protección de datos y facilitas el ejercicio de los derechos del RGPD. Estos dos puntos son asimismo los que se estudian en las evaluaciones de impacto relativas a la protección de datos; puedes ver una explicación más detallada aquí.

Finalmente, también deberás tener en cuenta los costes de aplicación.

Qué medidas de seguridad debes implementar

El artículo 32.1 del RGPD establece que las medidas de seguridad deben incluir, entre otras:

  1. la seudonimización y el cifrado de datos personales;
  2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Por otro lado, el artículo 32.4 establece:

El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.

Si bien harías bien en tener en cuenta las disposiciones anteriores, esas medidas no son suficientes para garantizar la seguridad de la información. La decisión de aplicar unos controles u otros dependerá de los riesgos a los que se encuentre expuesta la información en tu organización y, para conocer esos riesgos, es imprescindible que completes una evaluación de riesgos.

Deberás implementar las medidas de seguridad técnicas y organizativas apropiadas para reducir el nivel de riesgo de esos activos de la información que superen el umbral de riesgo que hayas definido.

El RGPD no contiene un listado de las medidas que debes aplicar, pero una buena práctica sería que te guiaras por los controles del anexo A de la ISO 27001 y las directrices de la ISO/IEC 27002:2013, que está diseñada para ayudar a organizaciones a seleccionar e implementar los controles de la ISO 27001.

Controles en la ISO 27001

El anexo A de la ISO 27001 se estructura en 14 secciones y en cada una se especifican los objetivos y controles para la seguridad de la información. Certificarse en la ISO 27001 requiere implementar los 114 controles, salvo que alguno de ellos no aplique a tu organización. No obstante, para cumplir el RGPD no es necesario certificarse en la ISO y basta con adoptar los controles que consideres suficientes para reducir los riesgos para la confidencialidad, integridad y disponibilidad a niveles aceptables.

Así, según las necesidades de tu organización, puedes implementar algunos de los siguientes controles:

Políticas de seguridad

La ISO requiere crear una política de seguridad de la información de nivel superior que describa de forma genérica cómo la organización va a afrontar la seguridad de la información. Esta política debe ser aprobada por la dirección y debe comprender aspectos generales, como los objetivos de la compañía, el esquema para lograrlos, compromisos para alcanzar los requisitos de seguridad de la información y de mejora contínua.

Esta política de nivel superior debe ser complementada con políticas de nivel inferior que describan los pasos o procesos. La ISO 27001 requiere documentar, como mínimo, las siguientes políticas:

  1. Seguridad de la información (política de nivel superior).
  2. Control de accesos.
  3. Clasificación y manejo de la información.
  4. Seguridad física y ambiental.
  5. Uso aceptable de los activos.
  6. Escritorios y pantallas limpios.
  7. Transferencia de información.
  8. Dispositivos móviles y teletrabajo.
  9. Restricciones en la instalación y uso del software.
  10. Copias de seguridad.
  11. Protección contra malware.
  12. Gestión de vulnerabilidades técnicas.
  13. Controles criptográficos.
  14. Seguridad de las comunicaciones.
  15. Privacidad y protección de los datos personales.
  16. Relaciones con proveedores.

Las políticas deben ser comunicadas dentro la organización y revisadas periódicamente.

Organización de la seguridad de la información

Esta sección se divide en dos categorías, la organización interna y los dispositivos portátiles y el teletrabajo. Por lo que se refiere a la organización interna, la ISO recoge controles relativos a:

  • la asignación de responsabilidades relacionadas a la seguridad de la información,
  • la segregación de tareas,
  • el contacto con las autoridades,
  • el contacto con grupos de interés especial, y
  • la seguridad de la información en la gestión de proyectos.

Por lo que se refiere a los equipos informáticos portátiles y al teletrabajo, se deben disponer medidas de seguridad para gestionar los riesgos relacionados con estos. Por ejemplo, a título orientativo, algunas medidas para gestionar el uso de dispositivos móviles pueden incluir:

  • el registro,
  • la protección física de los dispositivos,
  • las copias de seguridad,
  • la protección contra malware,
  • las restricciones en la instalación de software, o
  • la desactivación, bloqueo o borrado a distancia del dispositivo.

Seguridad de los recursos humanos

Comprende aspectos a tomar en cuenta antes, durante y para el cese o cambio de trabajo.

Antes de la contratación, la ISO requiere tener definidos los procedimientos para cribar los candidatos, confirmando los perfiles de los postulantes y comprobando sus antecedentes cuando sea necesario, teniendo en cuenta la legislación vigente y el nivel de acceso a información sensible. También deberán añadirse las cláusulas de seguridad de la información apropiadas a los contratos (NDA, responsabilidades y derechos, clasificación de la información, proceso disciplinario …).

Durante la contratación, la dirección debe asegurarse que los empleados o contratistas conocen sus obligaciones de seguridad de la información y las aplican, y deben desarrollarse, hacerse efectivos y comunicarse procesos disciplinarios.

Para el caso de cese o cambio de puesto de trabajo, debe comunicarse a los empleados o contratistas las responsabilidades relacionadas con la seguridad de la información que siguen vigentes una vez terminada la relación. Además, deben existir procedimientos relativos a la devolución de activos y revocación de permisos.

Gestión de los activos

En esta parte la ISO comprende controles respecto a lo siguiente:

  1. La responsabilidad sobre los activos. Se debe hacer un inventario de activos, que comprende los activos físicos, la documentación, el software y los servicios. Se debe asignar propietarios a cada activo y definir las responsabilidades del propietario. Se debe identificar, documentar e implementar cuál es el uso correcto de cada activo y los procesos para devolver un activo.
  2. La clasificación de la información. Deben definirse las directrices para clasificar la información y esta debe clasificarse y etiquetarse. También deben definirse cómo los activos deben manipularse según su nivel de clasificación, incluyendo las restricciones de acceso, la protección de las copias, el almacenamiento y la desclasificación y destrucción.

El manejo de los soportes de almacenamiento. Se especifican controles respecto a la gestión de soportes extraíbles, la eliminación de soportes y los soportes físicos en tránsito.

Control de accesos

En esta sección la ISO exige bastantes controles, que tienen que ver con los requisitos de negocio para el control de accesos, la gestión del acceso de los usuarios, las responsabilidades de los usuarios y el control de acceso a sistemas y aplicaciones.

De los requisitos de negocio para el control de accesos, se recomiendan los siguientes controles:

  • una política de control de accesos; y
  • acceso a redes y servicios asociados.

Sobre la gestión del acceso de los usuarios:

  • gestión de altas y bajas en el registro de usuarios;
  • gestión de los derechos de acceso a usuarios;
  • gestión de derechos de acceso con privilegios especiales;
  • gestión de la información confidencial de autenticación de los usuarios;
  • revisión de los derechos de acceso de usuarios;
  • revocación o modificación de los derechos de acceso;

Sobre las responsabilidades de los usuarios, se recomienda establecer controles acerca del uso de información confidencial para la autenticación (contraseñas).

Por lo que se refiere al control de acceso a sistemas y aplicaciones, se debe considerar:

  • restricciones de acceso a la información;
  • procedimientos seguros de inicio de sesión;
  • sistemas de gestión de contraseñas;
  • el uso de programas de utilidad privilegiados; y
  • el control del acceso al código fuente de los programas.

Cifrado

Por lo que se refiere al cifrado, se recogen dos controles. Por un lado, la creación e implementación de políticas sobre el uso de controles de cifrado. Por otro, el desarrollo de una política sobre la gestión de claves.

Seguridad física y ambiental

En la seguridad física y ambiental la ISO distingue dos categorías de controles, los que conciernen al establecimiento de áreas seguras y los que se refieren a la seguridad de los equipos.

Para el establecimiento de áreas seguras, deberías tener en cuenta:

  • el perímetro de seguridad física,
  • los controles físicos de entrada,
  • la seguridad de oficinas, despacho y recursos,
  • la protección contra amenazas externas y ambientales,
  • el trabajo en áreas seguras, y
  • las áreas de acceso público, carga y descarga

Para garantizar la seguridad de los equipos, deberías considerar:

  • el emplazamiento y protección de equipos,
  • las instalaciones de suministro,
  • la seguridad del cableado,
  • el mantenimiento de equipos,
  • la salida de activos fuera de las dependencias de la organización,
  • la seguridad de equipos y activos fuera de las instalaciones,
  • la reutilización o retirada segura de dispositivos de almacenamiento,
  • el equipo informático de usuario desatendido, y
  • el desarrollo de una política de puesto de trabajo despejado y bloqueo de pantalla.

Seguridad de las operaciones

Para salvaguardar la seguridad de la información en las operaciones, la ISO establece controles respecto a: las responsabilidades y los procedimientos de las operaciones; la protección contra malware; las copias de seguridad; registro de actividad y supervisión; el control del software en explotación; la gestión de las vulnerabilidades técnicas, y; consideraciones de las auditorías de los sistemas de información.

Sobre las responsabilidades y los procedimientos de las operaciones, se concretan los siguientes controles:

  • documentar los procedimientos operativos;
  • gestionar los cambios;
  • gestionar la capacidad;
  • separar los entornos de desarrollo, prueba y producción.

Por lo que se refiere a los registros de actividad y supervisión, puedes:

  • registrar y gestionar los eventos de actividad del usuario;
  • proteger los registros de información;
  • registrar la actividad del administrador y del operador del sistema;
  • sincronizar los relojes de todos los sistemas de procesamiento de información.

Por lo que se refiere a la gestión de vulnerabilidades técnicas, puedes:

  • gestionar vulnerabilidades técnicas, y
  • poner restricciones en la instalación de software.

Finalmente, también deberías considerar:

  • implementar controles contra el malware;
  • realizar periódicamente copias de seguridad;
  • definir procedimientos para controlar la instalación de software en sistemas en explotación, y;
  • planificar las auditorías en sistemas de la información con fin de minimizar la irrupción de las actividades.

Seguridad de las comunicaciones

Para proteger la información que se comunica por redes telemáticas y sus infraestructuras, la ISO establece controles para gestionar la seguridad en las redes y para las transferencias de información.

Para la gestión de la seguridad en las redes, se recomiendan:

  • los controles de red;
  • mecanismos de seguridad asociados a servicios en red;
  • la segregación de redes.

Y para las transferencias de información, se establecen controles acerca de:

  • las políticas y procedimientos de intercambio de información;
  • acuerdos de transferencias de información;
  • la mensajería electrónica;
  • acuerdos de confidencialidad y no divulgación.

Adquisición de sistemas, desarrollo y mantenimiento

Esta parte se divide en tres: los requisitos de seguridad de los sistemas de información; la seguridad en los procesos de desarrollo y soporte; y los datos de pruebas.

Respecto a los requisitos de seguridad de los sistemas de información, la ISO recoge tres controles:

  • el análisis y especificación de los requisitos de seguridad de la información;
  • la seguridad de las comunicaciones en servicios de aplicación accesibles por redes públicas;
  • la protección de las transacciones en servicios de aplicación.

En lo referente a la seguridad en los procesos de desarrollo y soporte, se establecen nueve controles:

  • una política de desarrollo seguro de software;
  • procedimientos de control de cambios en los sistemas;
  • la revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo;
  • restricciones a los cambios en los paquetes de software;
  • usar principios de ingeniería en protección de sistemas;
  • seguridad en entornos de desarrollo;
  • la externalización del desarrollo de software;
  • la realización de pruebas de funcionalidad durante el desarrollo de los sistemas;
  • la realización de pruebas de aceptación de los sistemas.

Finalmente, también se debe adoptar un control para proteger los datos utilizados en pruebas, seleccionandolos cuidadosamente, evitando en lo posible utilizar datos personales o información sensible y protegiendolos y controlandolos.

Relaciones con los proveedores

Dos son los aspectos que la ISO manda controlar sobre las relaciones con los proveedores: la seguridad de la información en las relaciones con los proveedores, y la gestión de la prestación de servicios por los proveedores.

Por lo que concierne a la seguridad de la información en las relaciones con los proveedores, se establecen los siguientes controles:

  • una política de seguridad de la información para suministradores
  • tratar la seguridad en los contratos con los proveedores
  • cadena de suministro en tecnologías de la información y comunicaciones

En lo referente a la gestión de la prestación del servicio, se recomienda:

  • la supervisión y revisión de los servicios prestados por los proveedores, y
  • la gestión de cambios en los servicios prestados por proveedores.

Gestión de incidentes de seguridad de la información

Esta sección contiene controles para la gestión de las incidencias que afectan a la seguridad de la información y las mejoras. Se incluyen:

  • responsabilidades y procedimientos;
  • la notificación de los eventos de seguridad de la información;
  • la notificación de puntos débiles de la seguridad;
  • la valoración y toma de decisiones en los eventos de seguridad de la información;
  • la respuesta a los incidentes de seguridad;
  • el aprendizaje de los incidentes de seguridad de la información;
  • la recopilación de evidencias.

Aspectos de seguridad de la información en la gestión de la continuidad de negocio

Sobre la continuidad de negocio, la ISO recoge dos categorías: la continuidad de la seguridad de la información, y las redundancias.

Por lo que respecta a la continuidad de la seguridad de la información, la ISO incluye:

  • la planificación de la continuidad de la seguridad de la información;
  • la implementación de la continuidad de la seguridad de la información; y
  • la verificación, revisión y evaluación de la continuidad de la seguridad de la información.

Respecto a las redundancias, se debería implementar la suficiente redundancia en las instalaciones de procesamiento de la información.

Cumplimiento

Esta parte se divide en dos categorías. La primera trata sobre el cumplimiento de los requisitos legales y contractuales, la segunda sobre las revisiones de la seguridad de la información.

Los controles referentes al cumplimiento de los requisitos legales y contractuales son:

  • la identificación de la legislación aplicable;
  • los derechos de propiedad intelectual;
  • la protección de los registros de la organización;
  • la intimidad y protección de datos personales; y
  • la regulación de los controles criptográficos.

Por lo que se refiere a las revisiones de la seguridad de la información, la ISO distingue los siguientes controles:

  • la revisión independiente de la seguridad de la información;
  • el cumplimiento de las políticas y normas de seguridad; y
  • la comprobación del cumplimiento.

RECUERDA: Todos estos controles son los que la ISO 27001 requiere que valores implementar para certificarte. No obstante, para cumplir el RGPD no necesitas implementarlos todos, ni certificarte en la ISO, tan solo necesitas adoptar los controles necesarios para tratar los riesgos que no estés dispuesto a asumir.

Encontrarás las directrices para implementar cada uno de los controles en la ISO 27002, disponible aquí.

Seudonimización y anonimización

La seudonimización y la anonimización son técnicas cuyo objetivo es disociar la información de los datos identificativos. Cuando el proceso se hace de forma irreversible, los datos se habrán anonimizado y perderán su condición de dato personal. Por el contrario, cuando el proceso es reversible la información se habrá seudonimizado y estos conservarán su condición de dato personal.

Brechas de seguridad de datos personales

Una brecha o violación de seguridad de datos personales se define por el artículo 4.12 del RGPD como:

toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Si cualquiera de esos eventos tiene lugar, deberás documentarlo, incluyendo los hechos, los efectos y las medidas correctoras, y valorar la necesidad de comunicar la violación a la autoridad de protección de datos competente y a los interesados.

Notificación de brechas de seguridad a la autoridad de control

El artículo 33 del RGPD obliga al responsable del tratamiento a notificar las violaciones de seguridad de los datos personales a la autoridad de protección de datos cuando sea probable que esa brecha constituya un riesgo para los derechos y libertades de las personas físicas.

Se debe de notificar lo antes posible y en un plazo máximo de 72 horas desde que hayas tenido constancia de ella. No tener constancia de una brecha de seguridad no será un problema siempre y cuando hayas dispuesto los medios apropiados para detectar violaciones de seguridad. Por el contrario, no disponer las medidas de seguridad apropiadas para detectar violaciones de seguridad te expone a un incumplimiento de la norma.

Si notificas a la autoridad de protección de datos transcurrido el plazo de 72 horas, deberás informar de los motivos de la dilación.

El deber de notificar las brechas de seguridad pesa sobre el responsable del tratamiento, independientemente de los acuerdos alcanzados con los encargados. El encargado tiene el deber legal de notificar las violaciones de seguridad al responsable del tratamiento.

La notificación deberá describir lo siguiente:

  1. la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados;
  2. el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
  3. las posibles consecuencias de la violación de la seguridad de los datos personales;

las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Notificación de violaciones de seguridad a los interesados

Además de notificar a la autoridad de protección de datos, también deberás comunicar la brecha de seguridad de datos personales a las personas físicas afectadas cuando sea probable que entrañe un alto riesgo para sus derechos y libertades.

Esta comunicación deberá describir en un lenguaje sencillo y claro la naturaleza de la violación de datos personales e informar de:

  • el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información;
  • las posibles consecuencias de la violación de la seguridad de los datos personales;
  • las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Por el contrario, no deberás comunicar la violación de seguridad a los interesados cuando:

  1. hayas adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado;
  2. hayas tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado; o
  3. suponga un esfuerzo desproporcionado. En este caso, deberás optar por una comunicación pública o una medida semejante por la que informes de manera igualmente efectiva a los interesados.

Quizás también te interese…

Entidades y empresas obligadas a cumplir con el RGPD
Representante del RGPD en la UE. Protección de datos personales y privacidad. Unión Europea
Delegado de protección de datos en el RGPD (DPO - DPD). Cuando debe designarse, requisitos, funciones y salario.
Cómo transferir datos fuera de la UE transferencias internacionales de datos
Principios de protección de datos en el RGPD
Guía del registro de actividades del tratamiento del RGPD
Datos sensibles en el RGPD
Cómo atender los derechos del RGPD
Evaluación de impacto de protección de datos en el RGPD. EIPD o DPIA.
Requisitos de seguridad de la información en el RGPD
Multas y sanciones del rgpd
RGPD y blockchain, problemas y soluciones para el cumplimiento normativo
Esta web utiliza cookies propias y de terceros Ajustes Ok

Cookies técnicas

Son cookies necesarias para que el sitio web funcione adecuadamente. Solo puedes desactivar estas cookies desde tu navegador.

Cookies analíticas

Se utilizan para medir la audiencia y proporcionar información anónima sobre cómo navegas y utilizas el contenido. Leer más...