Navigacija
SUVP (GDPR) > Art铆culo聽32. Seguridad del tratamiento
Prenos PDF

Art铆culo聽32 RGPD. Seguridad del tratamiento

1. Teniendo en cuenta el estado de la t茅cnica, los costes de aplicaci贸n, y la naturaleza, el alcance, el contexto y los fines del tratamiento, as铆 como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas f铆sicas, el responsable y el encargado del tratamiento aplicar谩n medidas t茅cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) la seudonimizaci贸n y el cifrado de datos personales;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(1)(a) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).

Implementation guidance

The organization should have mechanisms to erase the PII when no further processing is anticipated.

(EN) [鈥


to read the full text

Smernice in sodna praksa

b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 6.1.2.

Here is the relevant paragraphs to article 32(1)(b) GDPR:

5.4.1.2 Information security risk assessment

6.1.2 c) 1) is refined as follows:

The organization shall apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability, within the scope of the PIMS.

(EN) [鈥


to read the full text

c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma r谩pida en caso de incidente f铆sico o t茅cnico;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 12.3.1.

Here is the relevant paragraphs to article 32(1)(c) GDPR:

6.9.3.1 Information backup

Implementation guidance

The organization should have a policy which addresses the requirements for backup, recovery and restoration of PII (which can be part of an overall information backup policy) and any further requirements (e.g. contractual and/or legal requirements) for the erasure of PII contained in information held for backup requirements.

(EN) [鈥


to read the full text

d) un proceso de verificaci贸n, evaluaci贸n y valoraci贸n regulares de la eficacia de las medidas t茅cnicas y organizativas para garantizar la seguridad del tratamiento.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 18.2.1.

Here is the relevant paragraphs to article 32(1)(d) GDPR:

6.15.2.1 Independent review of information security

Implementation guidance

Where an organization is acting as a PII processor, and where individual customer audits are impractical or can increase risks to security, the organization should make available to customers, prior to entering into, and for the duration of, a contract, independent evidence that information security is implemented and operated in accordance with the organization鈥檚 policies and procedures.

(EN) [鈥


to read the full text

2. Al evaluar la adecuaci贸n del nivel de seguridad se tendr谩n particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucci贸n, p茅rdida o alteraci贸n accidental o il铆cita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicaci贸n o acceso no autorizados a dichos datos.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.3.

Here is the relevant paragraphs to article 32(2) GDPR:

5.2.3 Determining the scope of the information security management system

When determining the scope of the PIMS, the organization shall include the processing of PII.

(EN) [鈥


to read the full text

Uvodne izjave

(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la t茅cnica y el coste de su aplicaci贸n con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relaci贸n con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucci贸n, p茅rdida o alteraci贸n accidental o il铆cita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicaci贸n o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar da帽os y perjuicios f铆sicos, materiales o inmateriales.

3. La adhesi贸n a un c贸digo de conducta aprobado a tenor del art铆culo聽40 o a un mecanismo de certificaci贸n aprobado a tenor del art铆culo聽42 podr谩 servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado聽1 del presente art铆culo.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 32(3) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

(EN) [鈥


to read the full text

Povezana besedila

4. El responsable y el encargado del tratamiento tomar谩n medidas para garantizar que cualquier persona que act煤e bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que est茅 obligada a ello en virtud del Derecho de la Uni贸n o de los Estados miembros.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 32(4) GDPR:

7.2.1 Identify and document purpose

Control

The organization should identify and document the specific purposes for which the PII will be processed.

Implementation guidance

The organization should ensure that PII principals understand the purpose for which their PII is processed. It is the responsibility of the organization to clearly document and communicate this to PII principals.

(EN) [鈥


to read the full text

Uvodne izjave Smernice in sodna praksa Pustite komentar
Uvodne izjave

(83) A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la t茅cnica y el coste de su aplicaci贸n con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relaci贸n con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucci贸n, p茅rdida o alteraci贸n accidental o il铆cita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicaci贸n o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar da帽os y perjuicios f铆sicos, materiales o inmateriales.

(74) Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por 茅l mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el 谩mbito, el contexto y los fines del tratamiento as铆 como el riesgo para los derechos y libertades de las personas f铆sicas.

(75) Los riesgos para los derechos y libertades de las personas f铆sicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar da帽os y perjuicios f铆sicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminaci贸n, usurpaci贸n de identidad o fraude, p茅rdidas financieras, da帽o para la reputaci贸n, p茅rdida de confidencialidad de datos sujetos al secreto profesional, reversi贸n no autorizada de la seudonimizaci贸n o cualquier otro perjuicio econ贸mico o social significativo; en los casos en los que se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales; en los casos en los que los datos personales tratados revelen el origen 茅tnico o racial, las opiniones pol铆ticas, la religi贸n o creencias filos贸ficas, la militancia en sindicatos y el tratamiento de datos gen茅ticos, datos relativos a la salud o datos sobre la vida sexual, o las condenas e infracciones penales o medidas de seguridad conexas; en los casos en los que se eval煤en aspectos personales, en particular el an谩lisis o la predicci贸n de aspectos referidos al rendimiento en el trabajo, situaci贸n econ贸mica, salud, preferencias o intereses personales, fiabilidad o comportamiento, situaci贸n o movimientos, con el fin de crear o utilizar perfiles personales; en los casos en los que se traten datos personales de personas vulnerables, en particular ni帽os; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran n煤mero de interesados.

(76) La probabilidad y la gravedad del riesgo para los derechos y libertades del interesado debe determinarse con referencia a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos. El riesgo debe ponderarse sobre la base de una evaluaci贸n objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto.

(77) Se podr铆an proporcionar directrices para la aplicaci贸n de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificaci贸n del riesgo relacionado con el tratamiento, a su evaluaci贸n en t茅rminos de origen, naturaleza, probabilidad y gravedad y a la identificaci贸n de buenas pr谩cticas para mitigar el riesgo, que revistan, en particular, la forma de c贸digos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comit茅 o indicaciones proporcionadas por un delegado de protecci贸n de datos. El Comit茅 tambi茅n puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas f铆sicas, e indicar qu茅 medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuesti贸n.

Smernice in sodna praksa Pustite komentar
[js-disqus]