El Reglamento general de protección de datos (RGPD) se basa en el enfoque basado en los riesgos. Esto es, se anima a las empresas u organizaciones que tratan datos personales a que apliquen medidas jurídicas, de seguridad y protección que sean acordes con el nivel de riesgo de sus actividades de tratamiento de datos. Entonces ¿Más cantidad de datos, más obligaciones en RGPD?. Las obligaciones de una empresa que trata muchos datos son más onerosas que las de una empresa que trata pocos datos.
Por ejemplo, la probabilidad de que una empresa u organización que trata muchos datos contrate a un delegado de protección de datos (DPD) es mayor que la de una que trata pocos datos (este caso, guarda relación con el concepto de tratamiento de datos personales a «gran escala»). Al mismo tiempo, la naturaleza de los datos personales y el impacto del tratamiento previsto también desempeñan un papel. El tratamiento de pocos datos, pero de naturaleza sensible (como datos sanitarios), exigiría la aplicación de medidas más estrictas para cumplir el RGPD.
En todos los casos, deberá respetar los principios de la protección de datos y permitir que las personas ejerzan sus derechos.
El RGPD contiene 99 artículos y de ellos un 80% contienen obligaciones netamente jurídicas. El 20% restante contienen obligaciones técnicas y de medidas de seguridad. Si lo vemos bien cuantos más Datos, más obligaciones a llevar a cabo en el RGPD.
Relacionemos las obligaciones contenidas en el RGPD y reuniéndolas por conceptos, el resultado es el siguiente:
- Principios relativos al tratamiento (Artículo 5). a continuación: (Artículo 6) Licitud del tratamiento
- Condiciones para el consentimiento (Artículo 7) y Consentimiento de menores (Artículo 8)
- Categorías especiales de datos (Artículo 9) y Datos relativos a condenas e infracciones penales (Artículo 10)
- Tratamientos que no requieren identificación (Artículo 11) y (Artículo 12) Ejercicio de derechos del interesado
- Información al interesado en la obtención directa (Artículo 13 y el 14) Información al interesado en la obtención indirecta
- Artículos 15, 16, 17 Derecho de acceso del interesado, de rectificación y de supresión
- Derecho a la limitación del tratamiento (Artículo 18) y las notificaciones de las acciones relativas a los derechos anteriores (Artículo 19)
- Derecho a la portabilidad de los datos (Artículo 20) Derecho de oposición (Artículo 21) y
- Derechos a no Decisiones individuales automatizadas y elaboración de perfiles (Artículo 22)
- y con las Limitaciones del tratamiento (Artículo 23). Responsabilidad del responsable del tratamiento (Artículo 24)
- Protección de datos desde el el diseño y por defecto (Artículo 25) Corresponsables del tratamiento (Artículo 26)
- Representantes en la Unión Europea (Artículo 27) y Encargado del tratamiento (Artículo 28)
- Tratamiento bajo la autoridad del responsable o del encargado (Artículo 29)
- Registro de las actividades de tratamiento (Artículo 30) Cooperación con la autoridad nacional (Artículo 31)
- Seguridad del tratamiento (Artículo 32) Notificación de una violación de la seguridad a la autoridad de control (Artículo 33)
- Comunicación de una violación de la seguridad al interesado (Artículo 34) y la Evaluación de impacto (Artículo 35)
- Consulta previa (Artículo 36) y la Designación del Delegado de Protección de Datos (Artículo 37)
- Posición del Delegado de Protección de Datos (Artículo 38) y Funciones del Delegado de Protección de Datos (Artículo 39)
- Códigos de conducta (Artículo 40) Supervisión de los códigos de conducta (Artículo 41)
- Certificación (Artículo 42) Principio general de las transferencias a terceros países (Artículo 44)
- Transferencias basadas en una decisión de adecuación (Artículo 45) Transferencias mediante garantías adecuadas (Artículo 46)
- Normas corporativas vinculantes (Artículo 47)Transferencias no autorizadas por el Derecho de la Unión (Artículo 48)
- Excepciones para situaciones específicas (Artículo 49)
Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Más cantidad de datos más obligaciones del RGPD.
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales.
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
El artículo 35 del RGPD distribuye el alcance mínimo de la evaluación de impacto en cuatro apartados de contenido jurídico y cita las medidas de seguridad como uno de los cuatro grupos de medidas a aplicar para afrontar los riesgos identificados en la evaluación de impacto.
El artículo 37 del RGPD establece que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39, que son de naturaleza jurídica y organizativa.
El proyecto de Ley relativo a la nueva LOPD contiene obligaciones relacionadas con las medidas de seguridad tangencialmente en los artículos 8 y 9 al hablar de los tratamientos amparados por una ley, en la Disposición adicional primera, relativa a las medidas de seguridad en el ámbito del sector público y en la Disposición adicional decimosegunda, al hablar del tratamiento de datos relacionados con incidentes de seguridad por parte de los equipos de respuesta a incidentes (CERT y CSIRT).