Hasta ahora ha sido relativamente fácil conocer las medidas de seguridad que cualquier entidad debía aplicar en su organización. Esto venía determinado por la sensibilidad de los datos tratados (art. 81 RDLOPD), que podían ser de nivel básico, medio o alto, y dependiendo del sistema utilizado para su gestión (automatizada, manual, o mixta).

Esto cambia radicalmente con el Reglamento Europeo de Protección de Datos (RGPD), ya que no únicamente se valora la sensibilidad del dato, sino que se consideran otras variables y se introducen las “categorías especiales de datos”, donde se consideran entre otros, el volumen de los datos tratados, los tratamientos automatizados que se van a realizar, la existencia de datos de menores, etc.

Asimismo, se introduce el término Accountability que tendría su traducción en Responsabilidad proactiva. En este sentido, el legislador en el nuevo RGPD no facilita un listado de medidas de seguridad, sino que delega esta directriz al Responsable del Tratamiento, el cual, en conocimiento de su organización y basándose en la gestión del riesgo, determinará las medidas de seguridad más adecuadas que deberá adoptar su organización.

Esto también significa que las actuales medidas de seguridad que se están aplicando sobre los sistemas de información, pueden ser suficientes (o no, dependiendo del resultado de la evaluación de impacto en la privacidad), pero en cualquier caso, se va a tener que justificar la elección de dichas medidas, argumentando de forma justificada cómo su aplicación repercute en la gestión del riesgo identificado.

En el caso del sector público, este análisis se simplifica relativamente, y es que la disposición adicional primera del proyecto de Ley Orgánica de Protección de Datos, indica que:

Disposición adicional primera. Medidas de seguridad en el ámbito del sector público.

El esquema nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos de carácter temporal, para evitar su perdida, alteración o acceso no autorizado, adaptando los criterios de denominación del riesgos en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.

La nueva Ley de Protección de Datos, con ello viene a decir que, el sector público, ya tiene un listado previamente autorizado de las medidas de seguridad que tiene que aplicar para proteger los datos de carácter personal: aquellas medidas de seguridad que le son de aplicación en el Real Decreto 3/2010, de 8 de Enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).

Estas medidas de seguridad se encuentran identificadas en el Anexo II del Esquema Nacional de Seguridad (ENS) y se dividen en tres marcos: organizativo, operacional y medidas de protección.

Las medidas de seguridad indicadas son acumulativas, de manera que para los sistemas de información catalogados de nivel bajo, serán de aplicación 40 medidas, para los sistemas de información catalogados de nivel medio, le aplicarán 60, mientras que para los sistemas de información catalogados de nivel alto, le serán de aplicación la totalidad de las medidas, es decir, las 75.

El Equipo Govertis