Seguridad
Sus datos son conservados con las medidas técnicas y organizativas necesarias para garantizar su confidencialidad, disponibilidad e integridad, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
Entre las medidas que se aplican, al objeto de garantizar un nivel de seguridad adecuado al riesgo, están:
- La seudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación de las medidas de seguridad se tiene particularmente en cuenta los riesgos que presenta el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable.
Las medidas de seguridad vienen determinadas por los requisitos de protección de datos fijados por el responsable y, en su caso, el encargado del tratamiento, así como por lo dispuesto en el Esquema Nacional de Seguridad y en la Política de Seguridad de la Información del Ayuntamiento de Madrid.
El RGPD como la Ley Orgánica de Protección de Datos y garantía de los derechos digitales prevé que las medidas de seguridad para responsables o encargados deben aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de las personas interesadas. Por ello, responsable y encargados deben llevar a cabo una valoración del riesgo de sus tratamientos con el fin de determinar qué medidas aplicar y cómo hacerlo.
BRECHAS DE SEGURIDAD
Cuando detecte algún incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos, es conveniente que lo ponga en conocimiento del responsable del tratamiento (cuyos datos están publicados en el Registro de Actividades de Tratamiento), o del Delegado de Protección de Datos, a través del correo oficprotecciondatos@madrid.es, para solucionar el problema lo antes posible.
Para ello, deberá describir claramente los hechos, dónde los ha detectado, aportando, en su caso, las evidencias que pueda tener, e indicando en qué momento han sucedido o han tenido constancia de ellos.
El Delegado de Protección de Datos solicitará al órgano municipal responsable del tratamiento y a aquellas unidades del Ayuntamiento de Madrid y sus Organismos Públicos que proceda, toda la información que considere necesaria para valorar la brecha de seguridad de los datos personales. En el caso de que, tras esa valoración, se aprecie que constituye un riesgo para los derechos y libertades de las personas físicas, la notificará a la Agencia Española de Protección de Datos.