Seguridad en el tratamiento de los datos personales: nociones básicas
| Autor | Juan Francisco Rodríguez Ayuso |
| Páginas | 105-137 |
COLECCIÓN MONOGRAFÍAS | PROTECCIÓN DE DATOS PERSONALES
CAPÍTULO TERCERO
105
Seguridad en el tratamiento de los
datos personales: nociones básicas
SUMARIO: I. Nuevos concepción de la seguridad en el tratamien-
to de los datos. 1. Controles organizativos. 2. Controles técnicos. 3.
Controles procedimentales. II. El riesgo como elemento nuclear.
III. Protección de datos desde el diseño. IV. Evaluación de impac-
to relativa a la protección de datos.
I. Nueva concepción de la seguridad
en el tratamiento de los datos
Procede ahora examinar aquellas novedades que la nueva normativa trae
consigo para el sistema de gestión de seguridad de las organizaciones. En rela-
ción con esta cuestión, será preciso adoptar dos enfoques de manera separada:
a) En primer lugar, qué repercusiones tiene en relación con cada una de las
tres categorías de controles: organizativos, técnicos y procedimentales.
1. Controles organizativos
En relación con esta cuestión, la nueva normativa en materia de protec-
ción de datos personales introduce, por primera vez de manera obligatoria en
FIGURAS Y RESPONSABILIDADES EN EL TRATAMIENTO DE DATOS PERSONALES
COLECCIÓN MONOGRAFÍAS | PROTECCIÓN DE DATOS PERSONALES
JUAN FRANCISCO RODRÍGUEZ AYUSO
106
todo el territorio comunitario, la gura del DPO45, si bien su adopción no será
obligatoria para todas las entidades y organismos, sino únicamente en relación
con aquellos que se encuentran en alguna de las siguientes tres circunstancias
(artículo 37.1 RGPD):
1) En aquellos supuestos en que el tratamiento sea realizado por una auto-
ridad u organismo de naturaleza pública, con excepción de los tribunales
que intervengan en ejercicio de su función judicial.
2) En aquellos casos en que las actividades principales del responsable o del
encargado del tratamiento consistan en la realización de actividades de
tratamiento que, atendiendo a su naturaleza, alcance y/o nes, exijan el
de una observación habitual y sistemática de interesados a gran escala.
3) En aquellos supuestos en que las actividades principales del responsa-
ble o del encargado del tratamiento consistan en el tratamiento a gran
escala de categorías especiales de datos personales, reguladas dentro de
los artículos 9 RGPD y 9 LOPDGDD, o de datos relativos a condenas
o infracciones penales, regulados dentro de los artículos 10 RGPD y 10
LOPDGDD.
Por su parte, el artículo 34.1 LOPDGDD especica aún más, enume-
rando algunas de las categorías de responsables del tratamiento que deberán
proceder a este nombramiento:
• Los colegios profesionales y sus consejos generales.
• Los centros docentes que ofrezcan enseñanzas en cualquiera de los ni-
veles establecidos en la legislación reguladora del derecho a la educación,
así como las Universidades públicas y privadas.
45 Sobre esta cuestión, vid. ADSUARA VARELA, B., «El Delegado de Protección de
Datos: funciones y funcionalidad en el ámbito local», en AA.VV., Aplicación práctica
y adaptación de la protección de datos en el ámbito local: novedades tras el RGPD y la
LOPDGDD (Dir. CAMPOS ACUÑA, M.C.), Ed. Wolters Kluwer, Madrid, 2019,
pp. 385 a 422.
CAPÍTULO TERCERO | SEGURIDAD EN EL TRATAMIENTO DE LOS DATOS PERSONALES: NOCIONES BÁSICAS 107
COLECCIÓN MONOGRAFÍAS | PROTECCIÓN DE DATOS PERSONALES
• Las entidades que exploten redes y presten servicios de comunicaciones
electrónicas conforme a lo dispuesto en su legislación especíca, cuando
traten habitual y sistemáticamente datos personales a gran escala.
• Los prestadores de servicios de la sociedad de la información cuando
elaboren a gran escala perles de los usuarios del servicio.
de ordenación, supervisión y solvencia de entidades de crédito.
• Los establecimientos nancieros de crédito.
• Las entidades aseguradoras y reaseguradoras.
• Las empresas de servicios de inversión, reguladas por la legislación del
Mercado de Valores.
• Los distribuidores y comercializadores de energía eléctrica y los distri-
buidores y comercializadores de gas natural.
• Las entidades responsables de cheros comunes para la evaluación de la
solvencia patrimonial y crédito o de los cheros comunes para la gestión
y prevención del fraude, incluyendo a los responsables de los cheros
regulados por la legislación de prevención del blanqueo de capitales y de
la nanciación del terrorismo.
• Las entidades que desarrollen actividades de publicidad y prospección
comercial, incluyendo las de investigación comercial y de mercados,
cuando lleven a cabo tratamientos basados en las preferencias de los
afectados o realicen actividades que impliquen la elaboración de perles
de los mismos.
• Los centros sanitarios legalmente obligados al mantenimiento de las his-
torias clínicas de los pacientes. Se exceptúan los profesionales de la salud
que, aun estando legalmente obligados al mantenimiento de las historias
clínicas de los pacientes, ejerzan su actividad a título individual.
• Las entidades que tengan como uno de sus objetos la emisión de infor-
mes comerciales que puedan referirse a personas físicas.
Para continuar leyendo
Solicita tu prueba