Cargando. Por favor, espere

ALEMANIA: El Modelo Standard de Protección de Datos (Standard Datenschutzmodell, SDM) de las Autoridades Alemanas de Protección de Datos (III)

ALEMANIA: El Modelo Standard de Protección de Datos (Standard Datenschutzmodell, SDM) de las Autoridades Alemanas de Protección de Datos (III)

Morte Ferrer, Ricardo

LA LEY 1700/2020

Comentarios
Resumen

La Conferencia de las Autoridades de Protección de Datos alemanas (Datenschutzkonferenz, DSK) recomienda desde noviembre de 2019 el SDM en su versión 2.0 (SDM-V2). De esta forma ha finalizado el desarrollo de un modelo estándar para la implantación, control y asesoría en materia de Protección que ha durado prácticamente diez años. A partir de este momento los responsables de tratamientos y oficiales de Protección de Datos que desarrollen las tareas antes mencionadas intentando cumplir las exigencias del Reglamento General de Protección de Datos (RGPD) sin ajustarse a una metodología reconocida deberán ser capaces de justificar el motivo de esa decisión.

Palabras clave

Protección de Datos, Metodología Standard, Autoridades de Protección de Datos, derechos fundamentales.

Abstract

The German Conference of Data Protection Authorities ( Datenschutzkonferenz, DSK) recomends since November 2019 the Standard Data Protection Model (SDM) in the 2.0 Version (SDM-V2). This means the end for the development of a estándar modell for the implementation, control and consultancy in the Data Protection field. This development process was ten years long. From this moment controllers and DPOs in Germany (and hopely later in the EU) trying to achieve GDPR compliance will need to show that they work according to this modell or they will nod to mention the reason for not doing so.

Keywords

Data Protection, Standard Data Protection Modell, Data Protection Authorities, fundamental rights.

- Comentario al documentoUna revisión y estudio del SDM muestra que una aplicación efectiva del RGPD es una tarea intensa. Pero al mismo tiempo el SDM muestra que esa aplicación para tratamientos de datos personales se puede llevar a cabo de forma concreta y completa. De hecho, los catálogos de medidas técnicas y organizativas incluidos en el SDM ofrecen incluso una base para un cálculo adecuado de los costes que la aplicación efectiva del RGPD puede suponer. Este punto fue decisivo para que diferentes empresas de seguros se interesaran desde sus principios en el SDM.En este artículo se revisarán las principales novedades de la V.2.0 (1)

Ricardo Morte Ferrer

Abogado, Consultor y Docente Protección de Datos

1. CONTENIDOS

El texto del SDM-V2 ha sido completamente renovado e incluye actualmente cinco capítulos principales: el capítulo A presenta la finalidad y el campo de aplicación del modelo; los capítulos B y C presentan las exigencias operativas del RGPD y las reflejan en los siete objetivos de protección, mientras que el capítulo D presenta un catálogo de medidas genéricas y su aplicación. El capítulo D ofrece también apoyo para una descripción correcta de las actividades de tratamiento en relación con las exigencias normativas del RGPD. Este punto es importante porque aunque está muy extendida la opinión que el art.30 RGPD (LA LEY 6637/2016) puede cumplir esta función, en realidad el registro incluido en ese artículo se limita a registrarlas, pero no cumple la función de aportar una descripción a fondo que pueda resultar útil a efectos de controlarlas. Este capítulo también ayuda a realizar un análisis de riesgo correcto que permita estructurar un sistema de gestión de la Protección de Datos que garantice el cumplimiento del RGPD. El capítulo E presenta entre otras cosas la relación de la metodología del SDM con la del IT-Grundschutz del BSI (2) (Bundesamt für Sicherheit in der Informationstechnik / Oficina Federal para la Seguridad en las Tecnologías de la Información)

1.1. Objetivos de protección

En lo que afecta al núcleo del modelo no se ha producido modificaciones significativas. Los objetivos de protección (que garantizan la disponibilidad, integridad y confidencialidad, la transparencia, no encadenabilidad, capacidad de intervenir y minimización de los datos) transforman las exigencias del RGPD en medidas técnicas y organizativas. De esa forma tanto quien planifica los tratamientos de datos personales, como los juristas, técnicos, economistas, etc. pueden seguir aplicando la lógica de sus campos de actuación pero tienen que aplicar sus conocimientos y capacidades a los objetivos de la Protección de Datos, reflejados en los principios recogidos en el art. 5 RGPD (LA LEY 6637/2016). El objtivo de protección «transparencia» (art. 5.1 RGPD (LA LEY 6637/2016)) debe ser aplicado de acuerdo con el estado de la tecnología para garantizar la controlabilidad de los tratamientos de datos personales por medio de especificaciones (controlabilidad de aspectos relevantes en el futuro), documentación (controlabilidad aspectos relevantes en el momento presente) y protocolización/registro de protocolos (controlabilidad de aspectos relevantes en el psado).

1.2. Riesgos

El SDM-V2 diferencia cuatro grupos de riesgos, dos niveles de protección y una estrategia para la precisión de la efectividad de las medidas de protección.

El SDM-V2 diferencia cuatro grupos de riesgos, dos niveles de protección y una estrategia para la precisión de la efectividad de las medidas de protección.

No son específicos de la Protección de Datos. Más tarde se aportarán algunos comentarios adicionales sobre este aspecto.

1.2.1. Grupos de riesgos

El primer grupo de riesgos se ocupa del ataque para los derechos fundamentales que supone cualquier tratamiento de datos personales (recordamos aquí el principio de «prohibición con excepción de autorización» que ya se mencionó en anteriores artículos y que sigue apareciendo en el RGPD). Para los sujetos afectados existe el riesgo que ese riesgo no haya sido reducido/tratado de forma correcta, por ejemplo porque no se ha definido una finalidad legítima para el tratamiento o porque esa finalidad se ha definido de una forma excesivamente amplia y eso hace que en la práctica no se respete o se interprete a la ligera. Este riesgo solo se trata en la Protección de Datos y puede reducirse por medio de un diseño adecuado del tratamiento (en el caso de suponer un riesgo alto por medio de una Evaluación del Impacto sobre la Privacidad).

El segundo grupo de riesgos hace referencia a las medidas de protección a aplicar. Por ejemplo cuando ni siquiera se aplican, se aplican de forma errónea, se han seleccionado las equivocadas, se aplican de forma incorrecta o no son controladas con el esmero debido.

El tercer grupo de riesgos se refiere a la Seguridad de la Información, en los casos en que las medidas de protección no se aplican, se aplican de forma insuficiente o se aplican de forma incorrecta y no se controlan o se controlan mal.

El cuarto grupo de riesgo se ocupa de las medidas de protección que son seleccionadas, aplicadas y controladas sin tener en cuenta la dirección de protección de la Protección de Datos (la persona, no la organización). Este riesgo se controla por medio de la previsión de situaciones excepcionales claramente definidas en las que las medidas de protección de la Protección de Datos deben priorizarse frente a las de la Seguridad de la Información. Por supuesto, los incidentes de seguridad y las excepciones aquí mencionadas deben documentarse de forma adecuada.

1.2.2. Niveles de protección en base al riesgo

Dado que cualquier tratamiento de datos personales puede suponer la existencia de un riesgo normal para los sujetos afectados, el tema esencia en este punto será aclarar si existe un riesgo alto para esos sujetos.

Para aclarar el nivel de riesgo y el nivel de protección a aplicar el primer aspecto a evaluar será el tipo de tratamiento (por ejemplo si está incluido en el art. 35 RGPD (LA LEY 6637/2016)) y los tipos de datos o sujetos afectados implicados en el tratamiento (arts. 9 (LA LEY 6637/2016) y 10 RGPD (LA LEY 6637/2016)) para poder establecer si existe un riesgo alto. Como segundo escalón se puede proceder a estudiar las listas de las autoridades de Protección de Datos que incluyen los tratamientos que siempre necesitan una Evaluación del Impacto sobre la Privacidad (3) , que refleja la lista de nueve puntos a tener en cuenta presentada en el Working Paper 248 del Grupo de Trabajo del Artículo 29 (4) . Las autoridades alemanas de Protección de Datos han acordaddo que cuando dos de los puntos recogidos en el WP 248 afectan a un tratamiento se debe considerar que existe un riesgo alto. Finalmente habría que considerar si la naturaleza, el ámbito, el contexto y los fines del tratamiento laumentan la posibilidad de que se produzcan daños para el sujeto afectado (art. 24 (LA LEY 6637/2016) y considerando 76 RGPD (LA LEY 6637/2016)).

El factor esencial para la estimación y análisis del riesgo es el tratamiento de datos personales en sí mismo, el cual incluye la finalidad de ese tratamiento y la lógica que está detras del mismo.

El factor esencial para la estimación y análisis del riesgo es el tratamiento de datos personales en sí mismo, el cual incluye la finalidad de ese tratamiento y la lógica que está detras del mismo. Esos dos puntos nos muestran el riesgo para los sujetos afectados. El nivel de riesgo inicial decide sobre el nivel de protección adecuado, si bien hay que tener en cuenta que otros riesgos deben ser también tenidos en cuenta. Un riesgo normal genera un nivel de protección normal y un riesgo alto precisa de un nivel de protección alto. El nivel de protección permanecerá constante durante toda la vida del tratamiento, las medidas de protección que se seleccionen deben permitir tratar todos los posibles riesgos de forma que se vean reducidos a un nivel aceptable para las exigencias establecidas por el RGPD.

1.2.3. Medidas de protección

Dado que todos los principios establecidos en el art. 5 RGPD (LA LEY 6637/2016) deben ser tenidos en cuenta, todas las medidas del catálogo de referencia del SDM se aplican para un nivel norma de riesgo, por debajo del cual no existe otro nivel.

Dependiendo de las características de cada tratamiendo de datos será necesario seleccionar medidas de protección específicas. Un ejemplo podría ser un caso en el que determinados aspectos de un tratamiento solo pueden ser activados mediante una solicitud o con un control previo y por lo tanto requieren de controles especiales, de forma que si no se cumplen los requisitos establecidos sea posible detener el tratamiento o implementar de inmediato medidas correctoras. En muchas ocasiones las medidas de protección de la Seguridad de la información (por ejemplo las del IT Grundschutz anteriormente mencionado en este trabajo) pueden ser también adecuadas, si bien siempre habrá que tener en cuenta que en este caso se debe proteger a los sujetos afectados y no a la organización y a sus procesos de negocio.

La estrategia esencial para incrementar la efectividad de las medidas de protección en caso de riesgo alto consiste en garantizarlas mediante las medidas típicas de la Protección de Datos, algo, en realidad, fácil e incluso elegante.

La estrategia esencial para incrementar la efectividad de las medidas de protección en caso de riesgo alto consiste en garantizarlas mediante las medidas típicas de la Protección de Datos. Aunque pueda sonar complicado, en realidad es fácil e incluso elegante (siguiendo los principios del art. 5 RGPD (LA LEY 6637/2016) y el catálogo de los objetivos de protección). Por ejemplo, en un tratamiento de riesgo alto los datos recogidos en los protocolos deben ser controlados para valorar si cumplen con su finalidad en el sentido de poder solucionar conflictos en materia de Protección de Datos sin permitir ningún tipo de controles de rendimiento y un mínimo de controles del comportamiento de los empleados. Se deberá controlar si se precisan más protocolos y/o si los datos recogidos en los protocolos de los que se dispone son prescindibles y en realidad no deberían haber sido recogidos. Los protocolos deberían ser encriptados en caso de existir un riesgo alto y solo deberían poder acceder a ellos los miembros de la organización que disponen de las funciones y derechos establecidos en el organigrama de la organización. La posibilidad de revisión de los protocolos debe garantizarse por medio de medias que protejan su integridad. Se deben establecer reglas para la valoración de los protocolos y su borrado en caso de necesidad. Y al mismo tiempo se deben establecer procedimientos para realizar anotaciones en caso de solicitudes de corrección por parte de los sujetos afectados.

1.3. Componentes del tratamiento

Además de los objetivos de protección y de la valoración del riesgo, el SDM-V2 recomienda como tercer componente del modelo al grupo compuesto por los datos necesarios, los sistemas y servicios TIC y los diferentes procesos incluidos en el tratamiento. Todas las medidas de protección deben ser seleccionadas en base al tipo y nivel de riesgo y aplicadas a todos los componentes que acabamos de mencionar. Así, por ejemplo, los programas utilizados para el tratamiento de datos personales y los sistemas TIC utilizados así como los diferentes procesos implicados (recogida, tratamiento, transferencia, borrado) deben ser protocolizados para garantizar que el tratamiento es controlable.

Para garantizar que se han registrado todos los componentes de un tratamiento, debe garantizarse un descripción completa del mismo que incluya los 14 aspectos mencionados en el art.4.2 RGPD (LA LEY 6637/2016). El punto inicial a controlar es la finalidad del tratamiento. Se deben diferenciar cuatro aspectos: la finalidad debe ser legítima, debe ser definida de forma lo más precisa posible, se deben haber implementado ya medidas de protección necesarias para garantizar la conformidad legal del tratamiento y garantizar el cumplimiento de los principios del art.5 RGPD (LA LEY 6637/2016). Las informaciones relevantes en lo que afecta a la diferenciación de las finalidades de los tratamientos deben garantizar que se evitarán cambios de finalidad o ampliaciones de la misma. Finalmente debe documentarse que las finalidades seguirán siendo garantizadas y que la utilización de sistemas y componentes TIC (en muchas ocasiones externos) no servirán para hacer que la finalidad del tratamiento no sea respetada.

2. NOVEDADES

El catálogo de medidas genéricas ha sido ampliado en relación a la versión SDM-V1.1 (5)

El capítulo referente a la gestión de consentimientos recuerda que esos consentimientos se deben recoger y guardar de forma organizada, que su finalidad es garantizar la conformidad de los tratamientos para los que han sido otorgados y, sobre todo, que en cualquier momento los sujetos afectados deben poder retirar el consentimiento otorgado. El nuevo capítulo sobre las actividades de las autoridades de Protección de Datos y sus decisiones deja claro que si se ordena que determinados datos sean bloqueados las aplicaciones utilizadas por el responsable deben garantizar esa posibilidad.

También es nuevo el capítulo sobre gestión de la Protección de Datos. Se recuerda la necesidad de implementar un sistema de este tipo entre otros motivos debido a la exigencia recogida en el art. 32.1.d). Se recuerdan las cuatro fases de un proceso de mejora continua de acuerdo con el ciclo PDCA (Plan-Do-Check-Act) / Ciclo de Deming, especialmente conocido en el campo de la gestión de la calidad:

En la fase Plan se debe planificar el tratamiento de acuerdo con lo previsto en el art. 25 RGPD (LA LEY 6637/2016), incluyendo la selección de las medidas de protección para los componentes esenciales del mismo. Especialmente se debe documentar la efectividad de esas medidas. El producto a generar en esta fase será un documento conteniendo las especificaciones tanto para el responsable como para el encargado del proyecto o del tratamiento. En esta fase se incluirá también, en caso de necesidad, una Evaluación del Impacto sobre la Protección de Datos de acuerdo con el art. 35 RGPD (LA LEY 6637/2016).

En la fase Do se estructura el tratamiento de acuerdo con lo planificado en la fase anterior. También se deben implementar las medidas de protección adecuadas para cumplir con los requisitos exigidos por los objetivos de protección y se debe garantizar y documentar su efectividad, de forma que pueda finalizarse la segunda fase de la Evaluación de Impacto sobre la Protección de Datos siguiendo lo establecido en el art. 35 RGPD (LA LEY 6637/2016).

En la fase Check se deben diferenciar dos subfases: en la primera se deben presentar las diferencias entre ser y debe típicas de cualquier actividad de control o auditoría de forma que pueda comprobarse su validez legal; en la segunda se deben detectar las posibles debilidades/errores y controlar si la situación es legal y, en caso contrario, proponer medidas correctoras que permitan alcanzar el cumplimiento de los requisitos legales.

En la fase Act se deben generar las soluciones a los problemas detectados, planificar su implementación, documentada correctamente por el responsable de forma que la planificación de nuevos tratamientos o de correcciones de los establecidos pueda controlarse de forma cíclica en iniciarse en cualquier momento.

3. CONCLUSIONES

Para quienes ya han trabajado con el SDM-V1.1, la versión SDM-V2 no requiere aprender nada nuevo ni un cambio esencial de planteamiento.

Para quienes, como el autor del presente trabajo, ya han trabajado con el SDM-V1.1, la versión SDM-V2 no requiere aprender nada nuevo ni un cambio esencial de planteamiento. En realidad esta nueva versión supone un apoyo adicional para seguir desarrollando el trabajo iniciado. De todas formas también debe quedar claro que una única lectura del documento no será suficiente. Cualquier metodología, especialmente una compleja como la aquí presentada, se comprende mejor después de adquirir experiencia práctica y de que los creadores de la misma reciban información sobre esa experiencia. Actualmente existen en Alemania diferentes actividades formativas (también organizadas por el autor del presente trabajo https://sdm2.de), normalmente de dos días, sobre el SDM y sobre su aplicación práctica especialmente en lo que afecta a la Evaluación del Impacto sobre la Protección de Datos y a la implementación de un sistema de gestión de la Protección de Datos.

También existen diferentes propuestas para proyectos europeos que tomarían el SDM como base y diferentes empresas españolas están planificando la implementación del SDM en sus herramientas de Software.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll