En la Agencia Española de Protección de datos (AGPD) se puede encontar un apartado muy completo de preguntas frecuentes, muy interesante los dedicados a la adecuación al Reglamento General de Protección de Datos-RGPD
Enlace al apartado de preguntas frecuentes de la AGPD
Respuesta de la AGencia de Protección de Datos
El esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática tras la fecha de aplicación del RGPD. En algunos casos los responsables podrán seguir aplicando las mismas medidas que establece el Reglamento de la LOPD si los resultados del análisis de riesgos previo se concluye que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado. En otras ocasiones será necesario completarlas con medidas adicionales o prescindir de alguna de las medidas. Se debe tener en cuenta, como ya hemos indicado en la anterior pregunta-respuesta, que las medidas técnicas y organizativas deberán establecerse de acuerdo con:
a) El coste de la técnica
b) Los costes de aplicación
c) La naturaleza, el alcance, el contexto y los fines del tratamiento
d) Los riesgos para los derechos y libertades Si antes el Reglamento de Desarrollo de la LOPD determinaba con detalle y de forma exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento, con el RGPD los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo. Además, el RGPD exige que se tomen en consideración más variables, ello como pilar básico del principio de responsabilidad proactiva.
Según la Guía Práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD editada por la Agencia de Protección de datos, la Gestión de riesgos es el conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza mediante una secuencia de actividades que inluyen:
La evauación de riesgos debe ser el resultado de una reflexión sobre las implicciones que los tratamientos de datos de carácter personal tienen sobre los interesados. Se trata de establecer hasta qué punto una actividad de tratamiento, por sus carácterísticas, el tipo de datos a los que se refiere o el tipo de operaciones puede causar un daño a los interesados.
En este enlace se explica de forma sencilla cómo hacer un análisis de riesgos
La principal diferencia es que el Reglamento General de Protección de Datos RGPD supone un cambio en la forma de afrontar las medidas que van a garantizar una adecuada protección de datos. Es un enfoque proactivo, desde el diseño y por defecto y con una gestión contÍnua de los riesgos potenciacles.
En este cuadro se puede ver las principales diferencias entre ambas legislaciones de las obligaciones que conlleva.
OBLIGACIONES LOPD / RDLOPD |
OBLIGACIONES RGPD |
• |
|
El Reglamento General de Protección de Datos establece como bases legítimas para apoyarse a la hora de realizar un tratamiento, las siguientes bases:
Es toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.
Es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento
Es un ente público e independiente cuya finalidad principal es velar por el cumplimiento de la legislación sobre protección de datos personales y controlar su aplicación. Se halla situada en c/ Jorge Juan, 6, 28001 Madrid, su teléfono es el 901 100 099 y su página web: www.agpd.es.