Integridad y Confidencialidad como principio técnico esencial en tiempos del COVID-19
| Autor | Juan Francisco Rodríguez Ayuso |
| Cargo del Autor | Profesor Ayudante Doctor. Coordinador Académico del Máster Universitario en Protección de Datos. Universidad Internacional de La Rioja (UNIR) |
| Páginas | 161-203 |
— 161 —
Capítulo Tercero
Integridad y Confidencialidad como principio
técnico esencial en tiempos del COVID-19
Sumario. I. Nuevo enfoque en materia de seguridad: del dato personal al riesgo en el trata-
miento como elemento nuclear: 1. Identificación de los riesgos. 2. Evaluación de
los riesgos. 3. Tratamiento de los riesgos. 4. Protección de datos desde el diseño
y por defecto.- II. Medidas de seguridad en el contexto del coronavirus: 1. La se-
guridad de las Administraciones Públicas: Esquema Nacional de Seguridad en el
ámbito de la protección de datos personales. 2. Medidas de seguridad aplica-
bles en el contexto del COVID-19: 2.1. Gestión de personal empleado en la
organización responsable del tratamiento. 2.2. Gestión de incidencias en ma-
teria de seguridad de los datos personales. 2.3. Control de acceso físico y a los
recursos del sistema que contienen información sensible. 2.4. Protección de in-
formación especial. 2.5. Sistema de identificación y autenticación de usuarios
con acceso a datos de salud. 2.6. Protección de los soportes en que se contiene
la información. 2.7. Protección de los equipos, fijos y portátiles, empleados por
los usuarios para el tratamiento de datos personales. 2.8. Comunicaciones sen-
sibles seguras a través de la red. 2.9. Figuras complementarias al delegado de
protección de datos: el responsable de seguridad. 2.10. Auditoría de los siste-
mas de información e instalaciones de tratamiento y almacenamiento de datos.
3. Evaluación de impacto relativa a la protección de datos y consulta previa a la au-
toridad de control.- III. Confinamiento de los ciudadanos durante la epidemia:
el teletrabajo: 1. Controles técnicos, organizativos o procedimentales. 2. Cómo
proceder ante una brecha de seguridad: 2.1. Notificación a la autoridad de con-
trol de violaciones de seguridad de datos tratados con motivo de la pandemia.
2.2. Comunicación a los afectados.
I. NUEVO ENFOQUE EN MATERIA DE SEGURIDAD: DEL DATO PERSONAL
AL RIESGO EN EL TRATAMIENTO COMO ELEMENTO NUCLEAR
Todo tratamiento de datos personales debe ir acompañado de determinadas
medidas de seguridad técnicas u organizativas que, siguiendo lo establecido en
el principio de integridad y confidencialidad [artículo 5.1.f) RGPD], garanticen
«[…] una seguridad adecuada de los datos personales, incluida la protección con-
tra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño
accidental».
J F R A
— 162 —
Como veremos, el nivel de seguridad proporcionado deberá ser acorde al nivel de
riesgo que conlleve el tratamiento. Por este motivo, comenzaremos analizando qué
se entiende por riesgo, expondremos el profundo cambio de enfoque experimenta-
do respecto de la normativa anterior y diseccionaremos cuál es el procedimiento a
seguir para poder obtener dicho riesgo. No obstante, fácilmente podremos deducir
que el tratamiento de grandes volúmenes de categorías especiales de datos personales
será, a priori, indicio más que suficiente para poder concluir que, en el contexto del
COVID-19, la seguridad del tratamiento deberá ser especialmente reforzada y, por
consiguiente, todo tratamiento llevado a cabo con fines de protección, prevención y
atención de afectados o potencialmente afectados por el virus comportará la imple-
mentación de fuertes medidas destinadas a proteger la privacidad del interesado.
Como anunciábamos en el párrafo anterior, un buen punto de partida a la hora de
analizar la seguridad en el tratamiento de los datos personales es, en la actualidad, el
concepto de riesgo. En términos generales, el riesgo viene a traducirse en la probabili-
dad de que se materialice una amenaza y el impacto que tendría en caso de que se ma-
terializara, entendiendo por amenaza todo elemento de riesgo susceptible de causar un
daño o perjuicio a los interesados cuyos datos personales sean objeto de tratamiento213.
El riesgo siempre estará presente y condicionará cualquier tipo de decisión que deba-
mos tomar en nuestra vida, lo que determina la necesidad de identificar el riesgo y pro-
ceder a su evaluación para, de este modo, poder minorarlo; así, en materia protección
de datos personales, el riesgo consistiría en la probabilidad de que suceda un daño para
el interesado como resultado de la realización de operaciones de tratamiento sobre sus
datos personales en relación con sus derechos y libertades fundamentales, en especial el
derecho fundamental a la protección de sus datos personales214.
De este modo, es fundamental tener en cuenta el riesgo que implica cualquier
actividad de tratamiento que pueda acarrear daños y perjuicios físicos, materiales o in-
materiales para las personas físicas, tales como pérdida de control sobre sus datos per-
sonales o limitaciones de sus derechos, discriminación, usurpaciones de identidad,
pérdidas financieras, reversiones no autorizadas de la seudonimización, daños para
la reputación, revelación de información confidencial sometida al deber de secreto
profesional o demás perjuicios de naturaleza económica o social relevantes para con
el interesado.
En relación con lo anterior, no se proporciona una definición en torno a qué ha de
entenderse por riesgo elevado o, más comúnmente, alto riesgo, siendo aconsejable que sea
el CEPD el que, en línea con el considerando 77 RGPD, emita aquellas directrices rela-
tivas a los tratamientos que no conlleven un riesgo elevado en relación con los derechos
y libertades del titular de los datos personales, indicando, de igual modo, qué medidas
pueden ser suficientes, en estos casos, para hacer frente al riesgo. Esta nueva regulación
sí que proporciona, sensu contrario, determinados criterios para entender en qué consis-
213 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, Guía práctica de análisis de riesgos en los
tratamientos de datos personales sujetos al RGPD, op. cit., pp. 3-4.
214 BERROCAL LANZAROT, A. I., Estudio jurídico-crítico sobre la Ley Orgánica 3/2018, de 5 de diciembre,
de protección de datos personales y garantía de los derechos digitales: análisis conjunto del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo de 27 de abril de 2016 y de la Ley Orgánica 3/2018 de 5 de diciembre, op. cit., p. 175.
Privacidad y Coronavirus: aspectos esenciales
— 163 —
te un riesgo elevado, tales como la sensibilidad del dato o los efectos que, para el inte-
resado, puede conllevar el hecho de que se traten sus datos personales, lo que implica
que el responsable del tratamiento habrá de efectuar una evaluación de impacto y, en
su caso, una consulta previa a la autoridad de supervisión215.
La aproximación basada en el riesgo no constituye una novedad, ya que se incor-
poraba a la DPDP, si bien es ahora cuando, como elemento nuclear del principio de
responsabilidad proactiva, adquiere su más alto exponente. En un contexto interna-
cional, este reconocimiento tiene lugar también en instrumentos internacionales,
como sucede con las Directrices de la Organización para la Cooperación y el Desarrollo
Económico de 2013216, que incorporan, de manera específica, la evaluación del riesgo
entre los principios de aplicación, aludiendo concretamente a la relevancia que tiene
en el desarrollo de políticas y salvaguardas necesarias para garantizar la privacidad.
El germen de la necesidad de amoldar la seguridad del tratamiento al riesgo, «[…]
teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el
alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de las personas física», se encuentra
en el artículo 32 RGPD. Al respecto, y a modo de inicio, resulta conveniente analizar
terminológicamente el concepto de gestión de riesgos, que alude a aquellas actividades
y tareas que hacen posible el control de la incertidumbre relativa a una amenaza por
medio de un conjunto ordenado de actividades que incorporan la identificación del
riesgo y la evaluación del riesgo, así como el conjunto de medidas necesarias para que
este se reduzca o mitigue217. En este sentido, podemos distinguir una serie de estadios
que siguen una secuencia temporal y procedimental lógica:
1. Identificación de los riesgos
Consiste en identificar los riesgos que conlleva el tratamiento previsto. Como sa-
bemos, el riesgo es una consecuencia de la exposición frente a amenazas; más concre-
tamente, la amenaza y el consecuente riesgo se hallan intrínsecamente imbricados, de
tal suerte que la identificación de los riesgos siempre comporta la consideración de la
amenaza que los puede originar. Estas amenazas, atendiendo a la protección de datos
personales, pueden clasificarse en las siguientes modalidades:
a) Acceder ilegítimamente a información personal del interesado, haciendo re-
ferencia al impacto que provocaría que los datos personales fueran conoci-
215 RECIO GAYO, M., “Aproximación basada en el riesgo, evaluación de impacto relativa a la pro-
tección de datos personales y consulta previa a la autoridad de control”, en PIÑAR MAÑAS, J. L. (Dir.),
Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad, Madrid, Ed. Reus, 2016,
pp. 354-355.
216 ORGANIZACÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICOS, Directrices so-
bre protección de la privacidad y flujos transfronterizos de datos personales, 2013.
217 DE LA PRADA ESPINA, D., “Análisis y gestión de riesgos de los tratamientos de datos persona-
les”, en MURGA FERNÁNDEZ, J. P./FERNÁNDEZ SCAGLIUSI, M. Á./LERDO DE TEJADA, M. E. (Dirs.),
Protección de datos, responsabilidad activa y técnicas de garantía. Curso de “Delegado de Protección de Datos”: adaptado
a la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digita-
les, Madrid, Ed. Reus, 2018, p. 350.
Para continuar leyendo
Solicita tu prueba