Seguridad
Sus datos son conservados con las medidas técnicas y organizativas necesarias para garantizar su confidencialidad, disponibilidad e integridad, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
Entre las medidas que se aplican al objeto de garantizar un nivel de seguridad adecuado al riesgo, están:
- La seudonimización y el cifrado de datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Al evaluar la adecuación de las medidas de seguridad se tiene particularmente en cuenta los riesgos que presenta el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
La adhesión a un código de conducta o a un mecanismo de certificación aprobado, podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos.
El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Las medidas de seguridad vienen determinadas por los requisitos de protección de datos fijados por el responsable y, en su caso, el encargado del tratamiento, así como por lo dispuesto en el Esquema Nacional de Seguridad y en la Política de Seguridad de la Información del Ayuntamiento de Madrid.
El RGPD prevé que las medidas de seguridad para responsables o encargados deben aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de los interesados. Por ello, responsable y encargados deben llevar a cabo una valoración del riesgo de sus tratamientos con el fin de determinar qué medidas aplicar y cómo hacerlo.
En las grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
BRECHAS DE SEGURIDAD
Cuando detecte algún incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos, es conveniente que lo ponga en conocimiento del responsable del tratamiento (cuyos datos están publicados en el Registro de Actividades de Tratamiento), o del Delegado de Protección de Datos, a través del correo oficprotecciondatos@madrid.es, para solucionar el problema lo antes posible.
Para ello, deberá describir claramente los hechos, dónde los ha detectado (aportando, en su caso, impresiones de pantalla que lo acrediten) y en qué momento han sucedido.
El Delegado de Protección de Datos solicitará al responsable del tratamiento y a las unidades del Ayuntamiento de Madrid y sus Organismos Públicos que proceda, toda la información que considere necesaria para valorar la brecha de seguridad de los datos personales y, en el caso de que constituya un riesgo para los derechos y libertades de las personas físicas, la notificará a la Agencia Española de Protección de Datos.