Solución propuesta.

A diferencia de lo que disponía la LOPD, el empresario ya no tiene indicaciones de qué medidas de seguridad aplicar según categoría de los datos.

Recuerda que anteriormente los datos se dividían en categoría básica, media y alta según su naturaleza.

Ahora, es el empresario, quien en base a estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, decidirán aplicar las medidas técnicas y organizativas más apropiadas:

a) Pseudonimización.

b) Cifrado de datos personales;

c) Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento;

d) Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de pérdida, borrado o destrucción.

e) Verificación, evaluación y valoración de la eficacia de las medidas para garantizar la seguridad del tratamiento.

Para definir qué medidas son las más adecuadas, se tendrán en cuenta los riesgos de destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Hemos elaborado un modelo de documento con medidas técnicas y organizativas básicas para cumplir con lo estipulado en el RGPD.