Reglamento Europeo de

Protección de Datos
Medidas de Seguridad

APARTADOS Material adjunto correspondiente

a los videos:
− SEGURIDAD EN EL
TRATAMIENTO
− NOTIFICACIÓN DE − Medidas de Seguridad (I)
VIOLACIÓN DE SEGURIDAD − Medidas de Seguridad (II)
− EVALUACIÓN DE IMPACTO
− CONSUL TA PREVIA
− Medidas de Seguridad (III)
− DELEGADO EN PROTECCIÓN
DE DATOS
− CÓDIGOS DE CONDUCTA
− CERTIFICACIÓN

Cursos de formación online WWW. GL OB AL FACT OR Y . E S

5. MEDIDAS DE SEGURIDAD

I. Seguridad en el tratamiento

El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas

apropiadas y adecuadas al riesgo, que incluirán, entre otras:

a) seudonimización y cifrado de datos personales;

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;
c) capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma
rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Al evaluar la adecuación del nivel de seguridad deben considerarse los riesgos del tratamiento,
en particular, analizando las consecuencias de su posible:
• destrucción
• pérdida
• alteración accidental o ilícita
• la comunicación o acceso no autorizados a dichos datos

La adhesión a un código de conducta o a una certificación podrá servir de elemento para

demostrar el cumplimiento de las medidas de seguridad, pero no exonerará de su
cumplimiento.
El responsable y el encargado del tratamiento deben garantizar que cualquier persona que
actúe bajo su autoridad sólo puedan tratar los datos siguiendo instrucciones del responsable,
salvo Ley en contrario.

II. Notificación de una violación de seguridad

El responsable del tratamiento notificará a la autoridad de control competente de

conformidad en el plazo máximo de 72 horas cualquier violación de la seguridad de sus datos,
a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los
derechos de las personas.
Si la notificación no se produce en el plazo de 72 horas, deberá ir acompañada de indicación
de los motivos de la dilación.

Contenido mínimo de la Notificación:

a) describir la naturaleza de la violación, incluyendo las categorías y el número

aproximado de interesados afectados, y las categorías y el número aproximado de
registros de datos personales afectados
b) comunicar el nombre y los datos de contacto del delegado de protección de datos u
otra persona de contacto
c) describir las posibles consecuencias de la violación
d) describir las medidas adoptadas o propuestas para remediar la violación.

Si no fuera posible facilitar la información simultáneamente, y en la medida en que no lo sea,

la información se facilitará de manera gradual sin dilación indebida.
El responsable del tratamiento documentará cualquier violación de la seguridad de los datos
personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas
adoptadas.
Dicha documentación permitirá a la autoridad de control verificar el cumplimiento de lo
dispuesto en la normativa.

Por su parte, el encargado del tratamiento notificará sin dilación al responsable del
tratamiento las violaciones de la seguridad de los datos personales de las que tenga
conocimiento.
Cuando sea probable que la violación entrañe un alto riesgo para los derechos de las personas
físicas, el responsable del tratamiento la comunicará al interesado.
La comunicación al interesado describirá en un lenguaje claro y sencillo la naturaleza de la
violación de la seguridad y contendrá como mínimo la información y las medidas a que se han
adoptado.

No será necesaria la comunicación al interesado si:

a) El responsable del tratamiento ha adoptado medidas de protección técnicas y

organizativas apropiadas. Son apropiadas aquellas que hagan ininteligibles los datos.
b) El responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya
no exista la probabilidad de que se concretice el alto riesgo.
c) Suponga un esfuerzo desproporcionado. En este caso, se optará por una
comunicación pública a los interesados.

Cuando el responsable todavía no haya comunicado al interesado la violación de la seguridad

de los datos personales, la autoridad de control, una vez considerada la probabilidad de que tal
violación entrañe un alto riesgo, podrá exigirle que lo haga o podrá exigirle otras medidas
concretas.

III. Evaluación del impacto

Cuando sea probable que un tipo de tratamiento entrañe un alto riesgo, el responsable del
tratamiento realizará, antes del tratamiento, una evaluación del impacto.
Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que
entrañen altos riesgos similares.
El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos
para realizar la mencionada evaluación.

La evaluación de impacto será obligatoria en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas, como la

elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos
jurídicos para las personas físicas
b) tratamiento a gran escala de las categorías especiales de datos o de los datos
personales relativos a condenas e infracciones penales,
c) observación sistemática a gran escala de una zona de acceso público.

La autoridad de control establecerá y publicará una lista de los tipos de operaciones de

tratamiento que requieran una evaluación de impacto, así como las que no lo requieran

Contenido mínimo de una Evaluación de Impacto:

 a) Descripción de las operaciones de tratamiento previstas y de los fines del
tratamiento.
b) Evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento
con respecto a su finalidad
c) Evaluación de los riesgos para los derechos y libertades de los interesados
d) Las medidas previstas para afrontar los riesgos, incluidas las medidas de seguridad.

IV. Consulta previa

El responsable debe consultar a la autoridad de control antes de proceder al tratamiento

cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo.
Cuando la autoridad de control considere que el tratamiento podría infringir la normativa, en
particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la
autoridad de control deberá asesorar por escrito al responsable, y en su caso al encargado.

Contenido de la Consulta:

a) las responsabilidades de los respectivos implicados

b) los fines y medios del tratamiento previsto
c) las medidas y garantías establecidas
d) los datos de contacto del delegado de protección de datos
e) la evaluación de impacto
f) cualquier otra información que solicite la autoridad de control.

V. El delegado de protección de datos (DPO)

El DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus

conocimientos especializados del Derecho y la práctica en materia de protección de datos y a
su capacidad para desempeñar sus funciones.
El DPO podrá formar parte de la plantilla del responsable o del encargado del tratamiento o
ser un externo.
El responsable o el encargado del tratamiento publicarán los datos de contacto del DPO y los
comunicarán a la autoridad de control.

El responsable y el encargado del tratamiento:

• garantizarán que el DPO participe en todas las cuestiones relativas a la protección de

datos personales.
• respaldarán al DPO en el desempeño de las funciones.
• garantizarán que el DPO no reciba ninguna instrucción en lo que respecta al
desempeño de dichas funciones. No será destituido ni sancionado por desempeñar sus
funciones, rindiendo cuentas directamente al más alto nivel jerárquico del responsable
o encargado.

Los interesados podrán ponerse en contacto con el DPO en relación al tratamiento de sus
datos.
El DPO podrá desempeñar otras funciones y cometidos, garantizando que las mismas no den
lugar a conflicto de intereses.

VI. Códigos de conducta

La normativa promueve la elaboración de códigos de conducta a fin de contribuir a la correcta
aplicación del Reglamento, teniendo en cuenta los distintos sectores de tratamiento y las
necesidades de las microempresas, pequeñas y medianas empresas.
Las asociaciones y otros organismos representativos de categorías de responsables o
encargados del tratamiento podrán elaborar, modificar o ampliar códigos de conducta con
respecto a:

a) el tratamiento leal y transparente

b) los intereses legítimos perseguidos
c) la recogida de datos personales
d) la seudonimización de datos personales
e) la información proporcionada al público y a los interesados;
f) el ejercicio de los derechos de los interesados
g) la información proporcionada a los niños
h) para garantizar la seguridad
i) la notificación de violaciones de la seguridad
j) la transferencia de datos personales a terceros países
k) los procedimientos extrajudiciales y otros de resolución de conflictos que permitan
resolver las controversias.

Un organismo que tenga el nivel adecuado de pericia en relación con el objeto del código y
que haya sido acreditado por la autoridad de control competente podrá supervisar el
cumplimiento de un código de conducta si:

a) ha demostrado, a satisfacción de la autoridad de control competente, su

independencia y pericia
b) ha establecido procedimientos que le permitan evaluar la idoneidad de los
responsables y encargados correspondientes para aplicar el código, supervisar el
cumplimiento de sus disposiciones y examinar periódicamente su aplicación
c) ha establecido procedimientos y estructuras para tratar las reclamaciones relativas a
infracciones del código o a la manera en que el código haya sido o esté siendo aplicado
por un responsable o encargado del tratamiento, y para hacer dichos procedimientos y
estructuras transparentes para los interesados y el público, y
d) ha demostrado, a satisfacción de la autoridad de control competente, que sus
funciones y cometidos no dan lugar a conflicto de intereses.

El organismo deberá tomar las medidas oportunas en caso de infracción del código por un
responsable o encargado del tratamiento, incluida la suspensión o exclusión de este. Informará
de dichas medidas y de las razones de las mismas a la autoridad de control competente.
La autoridad de control competente revocará la acreditación de un organismo si las
condiciones de la acreditación no se cumplen o han dejado de cumplirse.
La regulación de la Supervisión de los Códigos de Conducta no se aplicará al tratamiento
realizado por autoridades y organismos públicos.

VII. Certificaciones

Se promoverá la creación de mecanismos de certificación en materia de protección de datos,

así como de sellos y marcas de protección de datos a fin de demostrar su cumplimiento.
La certificación:

• será voluntaria y estará disponible a través de un proceso transparente.

 • no limitará la responsabilidad del responsable o encargado del tratamiento en cuanto
al cumplimiento de la normativa.
• será expedida por los organismos de certificación o por la autoridad de control
competente.
• se expedirá por un período máximo de tres años y podrá ser renovada.

Idea destacada

Las obligaciones concretas, así como los organismos de certificación deben ser desarrolladas
por cada uno de los Estados Miembros, disipando las dudas sobre la designación de dichas
organización.