Mesures de seguretat
Mesures
El RGPD no determina les mesures concretes que cal adoptar, sinó que serà cada responsable del tractament qui haurà d’avaluar els riscos inherents del tractament i aplicar les mesures per mitigar-los, tenint en compte l’estat de la tècnica i el cost de l’aplicació de les mesures, tals com la reducció al màxim del tractament de dades, la seudonimització de les dades o el xifrat o codificació de la informació.
Tot i que el RGPD no estableix concretes mesures de seguretat que tinguin caràcter obligatori, pot ser adequat acudir a les mesures recollides en el RD 1720/2007, de 21 de desembre, que aprova el reglament que desenvolupa la LOPD:
- Procediment per a la realització de còpies de seguretat i recuperació de les dades
- Procediment d’identificació i autenticació d’usuaris autoritzats
- Control d’accessos
- Registre d’accessos
- Límit d’intents reiterats d’accessos no autoritzats
- Procediment d’assignació i gestió de contrasenyes, i periodicitat en la modificació
- Emmagatzemament inintel·ligible de les contrasenyes actives
- Gestió de suports
- Designació d’un responsable de la coordinació, el control i el seguiment de les mesures de seguretat
- Auditories
- Mesures de seguretat en la transmissió de dades
El RGPD estableix l’obligació de comunicar a l’Autoritat de Control i a les persones interessades les violacions de seguretat que comportin o puguin comportar un alt risc per als drets i les llibertats de les persones físiques, ja siguin les persones titulars de les dades o terceres persones.
L’obligació establerta en el RGPD preveu que la comunicació ha de fer-se en el termini màxim de 72 hores des de que s’hagi produït la violació de seguretat o des de que se n’hagi tingut coneixement.
A títol enunciatiu, s’entén per violació de seguretat:
- Destrucció de dades
- Pèrdua o alteració accidental o il·lícita de dades personals transmeses a terceres persones
- Comunicacions o accessos no autoritzats de dades
- Incidències tècniques que comprometin la seguretat o la confidencialitat de les dades
Riscos per als drets i les llibertats de les persones interessades.
A títol enunciatiu, s’entén que les violacions de seguretat comporten o poden comportar danys i perjudicis físics, materials o immaterials per a les persones físiques en els supòsits següents:
- Pèrdua de control sobre les dades
- Restriccions de drets
- Discriminació
- Usurpació d’identitat
- Pèrdues financeres
- Reversió no autoritzada de la pseudonimització
- Perjudicis a la reputació
- Pèrdua de confidencialitat de dades sotmeses a secret professional
- Qualsevol altre perjudici econòmic o social significatiu
Per tal d’eliminar o de minimitzar els riscos o les conseqüències de les violacions de seguretat, el responsable del tractament haurà d’adoptar les mesures tècniques i organitzatives necessàries, que inclouran, almenys, les accions següent:
- Pseudonimització o xifrat de les dades de caràcter personal
- Procediments per garantir la confidencialitat, integritat, disponibilitat i resiliència permanent dels sistemes i serveis de tractament
- Capacitat de restauració de la disponibilitat i l’accés a les dades personals de manera ràpida en cas d’incident físic o tècnic
- Procediment de verificació, avaluació i valoració de les mesures tècniques i organitzatives
Documentació de les violacions de seguretat.
Els responsables del tractament hauran de portar un registre de les violacions de seguretat, que estarà a disposició del Delegat de Protecció de Dades i de l’Autoritat Catalana de Protecció de Dades.
El registre de les violacions de seguretat podrà ser en paper o per mitjans telemàtics, i haurà de contenir, almenys, la informació a què fan referència els articles 33 i 34 del RGPD i que es recullen en l’apartat 3.2 d’aquest document.
Registre de violacions de seguretat (PDF)