El RGPD y la LOPDGDD requieren una serie de actividades similares a las que se deben realizar en la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI en adelante) pero, en la práctica, no es habitual su integración.
ESCENARIO NORMATIVO
Los requerimientos en materia de seguridad de la información están especificados en el RGPD, principalmente, en su Artículo 32 – Seguridad del tratamiento:
Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: …..
Este texto del RGPD podría ser perfectamente asimilable a una declaración de objetivos de un SGSI cuyo alcance estuviera delimitado por los tratamientos de datos personales de una organización. Ahora bien, el RGPD y la LOPDGDD no contienen internamente un conjunto de medidas concretas aplicables, aspecto que sí contempla el Esquema Nacional de Seguridad (ENS) en su anexo II, compartiendo RGPD-LOPDGDD y ENS las dimensiones básicas de seguridad (confidencialidad, integridad, disponibilidad-resiliencia).
Para este artículo voy a centrarme en el ENS dado que la LOPDGDD (Disposición adicional primera) sí menciona este marco normativo de forma explícita como referente en cuanto a las medidas de seguridad a aplicar, tanto en el sector público (AAPP en adelante) como en las entidades del sector privado que proveen productos y servicios al sector público en los que existen tratamientos de datos personales.
A su vez el ENS, en su Artículo 3 – Sistemas de información que traten datos personales hace una mención explícita al necesario cumplimiento de lo dispuesto en el RGPD y LOPDGDD, realizando los pertinentes análisis de riesgos y, en su caso, las evaluaciones de impacto sobre protección de datos, determinando la prioridad de las medidas resultantes de estas actividades sobre las que hubieran sido determinadas en las valoraciones propias del ENS.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.