Hola a todos
Estudiando el tema de la protección de datos y su aplicación en el supuesto. Me encuentro con la siguiente duda. Si hay tratamiento de datos personales ( que seguro los habrá) se debe contemplar la normativa que actualmente es el RGPD y la ley 3/2018 entiendo. El RGD impone un serie de medidas de protección (técnicas y organizativas) que no detalla , ni impone. Suponiendo un sistema que no trata datos de categorías especiales ( es decir no hay que hacer evaluación de impacto) me surgen dudas a la hora de saber qué conjunto de medidas tengo que aplicar para proteger los derechos y obligaciones ( o más bien donde debo acudir ). Las opciones que contemplo son:
1) Se hecha mano del RD1720/2007 y se aplican las medidas en él contenidas ( básico). El problema es que el RGPD ya no contempla la aplicación de medidas por niveles , si no por tratamiento. Y por tanto deja sin aplicabilidad este RD
2) Se aplica las medidas de protección de la info del marco operativo del ENS
Gracias por vuestra ayuda
Duda sobre protección de datos
- gobispo
- PreparaTIC26
- Mensajes: 29
- Registrado: 13 Ago 2009, 16:45
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Duda sobre protección de datos
Hola guspl,
Ahora, con respecto a las medidas, hay que remitirse a la Disposición adicional primera de Medidas de seguridad en el ámbito del sector público. Y empezamos mal, por que lo primero que se dice en el punto 1 es que el ENS debe ser modificado y esto aún no se ha hecho: "1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679."
Pero cuando se sigue al siguiente punto, se nos dice que hay que aplicar lo que haya en el ENS: "2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad..."
En definitiva. ¿Cómo se hace en la práctica? Pues usando el sentido común. Y siguiendo los pasos que se pueden encontrar en esta infografía https://www.aepd.es/media/infografias/i ... d-aapp.pdf de la AEPD, donde lo ponen muy sencillo. En un simulacro yo indicaría los pasos que se indican en ella:
1. Elaborar un RAT, señalando que se ha hecho una análisis de las bases jurídicas para cada uno de ellos.
2. Efectuar un análisis de riesgos
3. Identificar y aplicar las medidas técnicas y organizativas
Como tu pregunta ante este último punto era ¿pero cuales? Yo pondría -tal y como tu y la LOPDGDD sugerís- las del ENS, que aún funcionan por niveles. Es decir, que no tengas clasificación del LOPD por niveles, no quiere decir que no puedas hacer el DICAT respecto del ENS, y usar las medidas para la LOPD, donde correspondan.
Espero no haberme enrollado mucho, y haber servido de aclaración.
Saludos,
W.
Ahora, con respecto a las medidas, hay que remitirse a la Disposición adicional primera de Medidas de seguridad en el ámbito del sector público. Y empezamos mal, por que lo primero que se dice en el punto 1 es que el ENS debe ser modificado y esto aún no se ha hecho: "1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679."
Pero cuando se sigue al siguiente punto, se nos dice que hay que aplicar lo que haya en el ENS: "2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad..."
En definitiva. ¿Cómo se hace en la práctica? Pues usando el sentido común. Y siguiendo los pasos que se pueden encontrar en esta infografía https://www.aepd.es/media/infografias/i ... d-aapp.pdf de la AEPD, donde lo ponen muy sencillo. En un simulacro yo indicaría los pasos que se indican en ella:
1. Elaborar un RAT, señalando que se ha hecho una análisis de las bases jurídicas para cada uno de ellos.
2. Efectuar un análisis de riesgos
3. Identificar y aplicar las medidas técnicas y organizativas
Como tu pregunta ante este último punto era ¿pero cuales? Yo pondría -tal y como tu y la LOPDGDD sugerís- las del ENS, que aún funcionan por niveles. Es decir, que no tengas clasificación del LOPD por niveles, no quiere decir que no puedas hacer el DICAT respecto del ENS, y usar las medidas para la LOPD, donde correspondan.
Espero no haberme enrollado mucho, y haber servido de aclaración.
Saludos,
W.