Hay tres niveles de seguridad, en función de las características de los ficheros de datos. Las empresas tienen 72 horas para notificar brechas de seguridad y los afectados pueden recurrir a la AEPD.
El nuevo reglamento de protección de datos implica algunos cambios relevantes en materia de seguridad. La legislación vigente hasta el 25 de mayo establecía con detalle y de manera exhaustiva las medidas de seguridad que debían aplicarse según el tipo de datos que fueran objeto de tratamiento en cada caso. Sin embargo, con el nuevo RGPD, esta cuestión se modifica.
La propia Agencia Española de Protección de Datos (AEPD) ha señalado que, en algunos casos, se pueden seguir aplicando las mismas medidas de seguridad que establece la normativa vigente hasta el pasado 25 de mayo, si del análisis de riesgos se concluye que dichas medidas son idóneas para ofrecer un nivel de seguridad adecuado. En caso contrario, será necesario completar dichas medidas o prescindir de algunas de ellas.
El RGPD establece tres niveles de seguridad (básico, medio y alto) dependiendo de la naturaleza de los datos personales tratados. Estos niveles de seguridad son acumulativos. Por lo tanto, los ficheros o tratamientos de datos de carácter básico sólo deben adoptar medidas de seguridad de nivel básico; lo mismo ocurre con los datos y ficheros de nivel medio y con los de nivel alto. Pero, ¿cómo saber a qué nivel de seguridad corresponde cada dato o fichero?
Nivel Alto
Son ficheros o tratamientos de nivel alto, entre otros, los que se refieren a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Una de las prácticas que se tiene que poner en marcha para tratar los ficheros de nivel alto es, por ejemplo, el registro de accesos: con esta medida queda una huella digital de todas las personas que hayan intentado acceder o hayan accedido a los datos en cuestión. Esta huella permite conocer la identidad de la persona que ha intentado acceder al fichero, la hora y la fecha del acceso y si tenía autorización para ello o no.
Nivel Medio
Son ficheros o tratamientos de nivel medio, por ejemplo, los relativos a la prestación de servicios de solvencia patrimonial y créditos; también lo son aquellos de los que sean responsables las entidades financieras relacionadas con la prestación de servicios financieros y aquellos que contengan un conjunto de datos que ofrezcan una definición de las características o de la personalidad de los clientes.
Una de las medidas que se deben implantar para el tratamiento de estos datos de nivel medio de seguridad es la realización de una auditoría (que puede ser interna o externa) cada dos años con el fin de verificar que se cumplen las medidas de seguridad que exige la nueva normativa de protección de datos.
Enlace: http://www.expansion.com/juridico/actualidad-tendencias/2018/06/05/5b16cd24268e3e356c8b45bd.html