La protección de datos incluye mucho más de la seguridad de datos, pero garantizar la seguridad de las operaciones de tratamiento de datos personales es también una preocupación central del Reglamento General de Protección de Datos (GDPR). Los responsables y los encargados del tratamiento están obligados a adoptar medidas técnicas y organizativas (TOM) apropiadas para sus operaciones de tratamiento de datos en cada caso, teniendo en cuenta el riesgo para los interesados, a fin de lograr un adecuado nivel de protección.
La evaluación de esto que constituye exactamente un TOM adapto al riesgo en un caso específico no es siempre fácil en la práctica. En línea de principio, la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y de los servicios en relación al tratamiento de datos tienen que ser garantizados de manera permanente. Concretamente, todavía, la sección de TOM adecuados tiene que tener en cuenta también el tipo, la portabilidad, las circunstancias y las finalidades del tratamiento, del estado del arte, de los gastos de actuación y de la gravedad y de la probabilidad de ocurrencia del riesgo para los interesados.
Definición de TOMs
Las medidas técnicas y organizativas exigidas por el GDPR para garantizar la seguridad del tratamiento de los datos personales (TOM) pueden describirse como sigue:
Medidas técnicas: Las medidas técnicas se refieren, por un lado, a las medidas directamente relacionadas con la seguridad de los componentes de hardware o software con los que se tratan los datos personales. En concreto, se trata de garantizar un funcionamiento estable y asegurar un sistema informático contra ataques externos o internos. Ejemplos de ello son la seudonimización o el cifrado de los datos personales tratados, los cortafuegos y los programas de protección antivirus, el registro de eventos, etc. Por otro lado, también se incluyen medidas relativas a la seguridad externa de los sistemas de procesamiento de datos, como un sistema de alarma para asegurar el edificio o cerraduras en ventanas y puertas, etc.
Medidas organizativas: Las medidas organizativas incluyen todas las medidas no técnicas de seguridad de los datos. Se refieren, en particular, a los procesos y a las personas que llevan a cabo el tratamiento de datos. Algunos ejemplos son el uso de conceptos de autorización, el principio de doble control, las obligaciones de confidencialidad o la formación especial de los empleados encargados del tratamiento de datos. Además, también se incluyen normas contractuales especiales o medidas organizativas en sentido amplio, como la elección de la ubicación del servidor.
Sin embargo, no siempre es posible delimitar claramente las medidas técnicas y organizativas, ya que una medida elegida, como un concepto de autorización, puede incluir tanto aspectos técnicos como organizativos.