Según el considerando 78 del RGPD, “la protección de los derechos y libertades de las personas físicas en relación con el tratamiento de datos personales exige que se adopten las medidas técnicas y organizativas adecuadas para garantizar el cumplimiento de los requisitos del [RGPD]”. Esta disposición, que representa una piedra angular del marco jurídico, se desarrolla aún más para el caso específico del tratamiento con fines de investigación. El considerando 156 del RGPD y el artículo 89 del RGPD exigen la aplicación de “garantías adecuadas”, subrayando la importancia de salvaguardar los derechos y libertades de las personas físicas.
El RGPD no proporciona una lista exhaustiva de medidas técnicas y organizativas, dejando al responsable del tratamiento la tarea de identificarlas y evaluar su eficacia para mitigar los riesgos para los interesados. Asimismo, los investigadores deben considerar la posibilidad de realizar una auditoría externa de seguridad y protección de datos, para confirmar que las medidas de seguridad y cumplimiento son sólidas, y para demostrar aún más el cumplimiento del principio de responsabilidad.
Ejemplos de medidas técnicas y organizativas | |
Medidastécnicas | Medidasorganizativas |
Anonimización o seudonimización de datos[1] | Políticas de seguridad |
Cifrado de la comunicación | Planes de gestión de datos |
Protección de los datos contra el acceso no autorizado | Programa de formación del personal |
Evaluación de la vulnerabilidad / Pruebas de penetración | Auditorías y evaluacionesperiódicas |
- Véase también la sección Borrado o destrucción de datos para más información sobre la anonimización. Para más información técnica, consulte “Identificación”, “Pseudonimización” y “Anonimización” en la sección “Conceptos principales” de la Parte II de estas Directrices) ↑