Medidas de seguridad y registro de actividades de tratamiento

Según el REGLAMENTO (UE) 2016/679 (RGPD), el Responsable del Tratamiento tiene la responsabilidad de cualquier tratamiento de datos personales realizado por él mismo o por su cuenta, debiendo ser consciente de que está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento, incluida la eficacia de las medidas.

Es de interés lo señalado en la Web oficial de la Unión Europea, sobre que: “el Responsable del Tratamiento determina los fines y los medios relacionados con el tratamiento de los datos personales. De modo que, si decide «por qué» y «cómo» deberán tratarse los datos personales, esa persona es usted. Las personas empleadas que realizan el tratamiento de los datos personales en la organización lo hacen en cumplimiento de las funciones que usted ejerce como responsable del tratamiento”.

(Véase: https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/controllerprocessor_es)

Según las obligaciones generales señaladas en el Artículo 24 del RGPD:

1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el RGPD, el Responsable o el Encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como las incluidas en el Artículo 32 del RGPD, entre otras:

1. a) la seudonimización y el cifrado de datos personales;
2. b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
3. c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
4. d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Por tanto, deberá ser tenida en cuenta y debe incluirse cuando sea posible, una descripción general en el registro de actividades de tratamiento, de todas medidas de seguridad de cumplimiento del RGPD, tal y como señala la web de la AEPD en PREGUNTAS FRECUENTES en 2.- REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) punto 2.8. REGISTRO DE ACTIVIDADES, en su apartado g.

(Véase: https://www.aepd.es/es/preguntas-frecuentes/2-rgpd/8-registro-de-actividades/FAQ-0220-que-es-el-registro-de-actividades-de-tratamiento)