Cuándo hay que revisar las medidas de protección de datos
Las medidas que garantizan y las que demuestran que un tratamiento es conforme con la normativa de protección de datos hay que revisarlas y actualizarlas ante cualquier cambio en la naturaleza, ámbito, contexto, fines del tratamiento o una variación de los riesgos para los derechos y libertades de las personas físicas con relación al mismo. Entre todas las medidas, el subconjunto de medidas de seguridad, además, debe ser validado y revisado de forma regular. Una política de protección de datos deberá definir los procesos de gestión de los cambios para activar la revisión y actualización de las medidas, de forma regulares como de forma excepcional.
Foto de Philipp Katzenberger en Unsplash
El Reglamento General de Protección de Datos, RGPD, (art.24) y la Ley Orgánica 7/2021 (art. 27 que traspone el art.19 de la Directiva 680/2016) exigen que el responsable del tratamiento revise y actualice las medidas implantadas en el tratamiento para garantizar que cumple con la normativa de protección de datos. La propia norma establece que hay que llevar a cabo dicha revisión y actualización cuando resulte necesario.
Existen dudas entre algunos responsables sobre cuándo es necesario revisar dichas medidas, aunque, de forma implícita, esto ya está definido en la normativa de protección de datos citada en el párrafo anterior.
Dicha normativa exige que se han de aplicar medidas de forma selectiva. Es decir, la norma establece que hay que implementar medidas adecuadas para garantizar y poder demostrar el cumplimiento. Las medidas seleccionadas por el responsable han de ser las adecuadas y no simplemente una acumulación de medidas. La selección de medidas ha de ser un proceso racional basado en criterios de aptitud y eficacia de las medidas del tratamiento con el objetivo de garantizar y demostrar el cumplimiento de un tratamiento concreto.
Los artículos antes citados determinan cómo tiene que analizarse un tratamiento para determinar la selección de medidas que serán adecuadas. Por un lado, hay que tener en cuenta la naturaleza, el ámbito o la extensión del tratamiento, el contexto y sus fines. Por otro lado, hay que tener en cuenta los riesgos para los derechos y libertades de las personas físicas.
La naturaleza de un tratamiento determina el cómo está implementado: por ejemplo, automático, manual, mixto, en qué operaciones se estructura el tratamiento, si se ejecuta en la nube, en el móvil, si incluye operaciones biométricas y decisiones automatizadas, si participan encargados de tratamiento, si se llevan a cabo transferencias internacionales, etc.
El ámbito y la extensión del tratamiento se establece en función de las categorías de interesados afectados, categorías de especial protección, de datos personales, la duración del tratamiento en sí, la granularidad de los datos, la frecuencia de su recogida, la amplitud geográfica, la conservación de datos por categorías, etc.
El contexto está determinado por múltiples factores externos que pueden condicionar el tratamiento, como podrían ser el contexto normativo, las características y condicionantes del sector o mercado donde se despliega, las brechas de datos personales en tratamientos similares, el entorno social, la sensibilidad de las distintas comunidades, etc.
Hay que tener en cuenta el fin, o fines, últimos y los fines colaterales o instrumentales y, por supuesto, los distintos riesgos para los derechos y libertades.
Por tanto, si las medidas han de ser adecuadas con relación a la naturaleza, contexto, categorías, ámbito, fines y riesgos del tratamiento, será necesario revisarlas y actualizarlas cuando se produzca cualquier cambio en los mismos. Por ejemplo, sería necesario revisarlas si incorporamos una nueva tecnología en una operación del tratamiento, si empiezan a tratarse algunas categorías de datos con mayor granularidad, si se están materializando nuevos tipos de brechas de datos personales en entidades o tratamientos similares, si se amplían o modifican los fines últimos o instrumentales, si hay conciencia de nuevos riesgos para los derechos fundamentales, etc.
La normativa de protección de datos no exige que dicha revisión sea periódica, pero implícitamente exige que se esté al tanto de los cambios en la naturaleza, contexto, ámbito, fines y riesgos del tratamiento para actuar en consecuencia.
Sin embargo, existe un subconjunto de medidas para garantizar y demostrar la adecuación a la normativa de un tratamiento para los que sí se exige, además de una revisión cuando sea necesario, una revisión periódica: las medidas de seguridad. El artículo 32.1.d del RGPD establece que las medidas de seguridad tendrán “un proceso de verificación, evaluación y valoración regulares”. Por otro lado, los tratamientos sometidos al Esquema Nacional de Seguridad, p.ej. aquellos regulados en la Ley Orgánica 7/2021, deberán realizar, “una auditoría regular ordinaria, al menos cada dos años” como se establece en su capítulo V.
Una política de protección de datos deberá definir los procesos de gestión para detectar los cambios en la naturaleza, contexto, ámbito, fines y riesgos del tratamiento, y para activar de forma inmediata los procesos de revisión y actualización de las medidas para la protección de los derechos y libertades de las personas. En particular, en dicha política se ha de establecer la agenda periódica de validación y revisión de las medidas de seguridad para garantizar los derechos fundamentales, siendo recomendable que esta revisión periódica también se extienda al resto de medidas.
En el sitio web de Innovación y Tecnología de la AEPD se puede encontrar más información relacionada con este tema en:
- Gestión del riesgo y evaluación de impacto en tratamientos de datos personales
- Guía de Privacidad desde el Diseño
- Guía de Protección de Datos por Defecto
- Gobernanza y política de protección de datos