Eficacia de las medidas
Home » RGPD » Conceptos principales » Protección de datos por diseño y por defecto » Análisis del artículo 25. Protección de datos desde el punto de vista del diseño » Eficacia de las medidas

A continuación, se analiza el requisito del art. 25(1) del RGPD de que las medidas deben aplicarse “de manera efectiva“. Lo hace en el contexto del resto de la redacción del art. 25(1) DEL RGPD.

A diferencia del análisis anterior, el presente no se utilizará para identificar las áreas para las que hay que encontrar medidas. Más bien se utilizará como un aspecto importante que hay que tener en cuenta para cada una de las medidas propuestas.

El art. 25(1) del RGPD obliga a los responsables del tratamiento a aplicar medidas apropiadas “destinadas a aplicar los principios de protección de datos” con el fin de “integrar las garantías necesarias en el tratamiento“. En este contexto, el requisito de eficacia expresa que no es un objetivo en sí mismo la aplicación de medidas. Más bien, las medidas sólo tienen valor en función de su eficacia para aplicar los principios de protección de datos e integrar las garantías. Por consiguiente, limitarse a aplicar medidas sin tener en cuenta su eficacia sería un ejercicio inútil.

Los contextos en los que debe analizarse la eficacia se establecen en el artículo 25.1 del RGPD en forma de aspectos que los responsables del tratamiento deben tener en cuenta. 25(1) del RGPD en forma de aspectos que los responsables del tratamiento deben tener en cuenta. En concreto, estos aspectos son los siguientes [enumerados en un orden diferente al utilizado en el texto del RGPD]:

  • los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas que plantea el tratamiento“,
  • el coste de la aplicación“,
  • el estado de la técnica“, y
  • la naturaleza, el alcance, el contexto y los fines del tratamiento“.

Al considerar la eficacia en el contexto de los riesgos para las personas físicas afectadas, es evidente que la medida debe ser eficaz para mitigar los riesgos. También implica una cierta proporcionalidad en relación con la magnitud de los riesgos. Al considerar un conjunto de medidas aplicadas, su eficacia es suficiente si es adecuada para mitigar el riesgo hasta un nivel aceptable.

Al considerar la eficacia en el contexto del coste, el RGPD parece reconocer que los recursos disponibles para aplicar las medidas son limitados y deben utilizarse de forma eficaz. Esto permite a los responsables del tratamiento utilizar medidas menos costosas y rentables en lugar de otras costosas con un efecto similar. En otras palabras, el criterio es la eficacia, no la asequibilidad o el coste para los responsables del tratamiento como tal. Aunque la consideración del coste deja la posibilidad de que un coste pueda considerarse excesivo, un coste elevado no puede utilizarse como justificación para despreciar la eficacia requerida en diferentes contextos. Si los costes necesarios para asegurar un nivel adecuado de garantías son demasiado elevados para un responsable del tratamiento, éste deberá abstenerse de realizar las actividades de tratamiento.

Si se considera la eficacia en el contexto del estado de la técnica, las consecuencias son dobles. Por un lado, evita que los responsables del tratamiento ignoren las nuevas medidas y se abstengan de actualizar el nivel de protección a lo que ofrece el estado de la técnica. Por otro lado, no se puede obligar a un responsable del tratamiento a aplicar medidas que han sido esbozadas en algún documento de investigación sin haber sido probadas o utilizadas en un entorno operativo. En situaciones en las que los controladores confían en el mercado para proporcionar ciertos tipos de software, puede estar justificado que los controladores limiten las medidas implementadas a las que están realmente disponibles en el mercado, si éstas son suficientes para proporcionar protecciones eficaces. Sin embargo, al igual que en el contexto de los costes, esto no puede eximir de los requisitos de eficacia en otros contextos.

En el contexto de las medidas de seguridad, el estado del arte tiene un significado particular. La ciberseguridad puede verse como una carrera armamentística entre hackers y defensores. En un panorama de amenazas en constante evolución, cada vez que los defensores piensan en medios más eficaces para frustrar los ataques, los hackers encuentran medios de ataque más sofisticados.Esto hace evidente que el concepto de “defensa eficaz” está en constante movimiento. En este contexto, la información actual sobre las amenazas y las defensas disponibles es importante a la hora de evaluar la eficacia de las medidas aplicadas. Asimismo, la no aplicación de nuevas medidas, por ejemplo, en forma de actualizaciones o parches críticos para la seguridad, no puede ser justificada por los responsables del tratamiento (salvo en el raro caso de que las nuevas medidas sean irrelevantes para las actividades de tratamiento y los riesgos relacionados).

Obsérvese que elComité Europeo de Protección de Datos (CEPD) señala en sus directrices sobre la protección de datos por diseño y por defectoque el estado de la técnica no se define únicamente por las medidas técnicas, sino que también incluye medidas organizativas como marcos, normas, certificaciones y códigos de conducta[1].

Al considerar la eficacia en relación con la naturaleza, el alcance, el contexto y los fines del procesamiento, se reconoce que las medidas tienen que ajustarse al procesamiento en cuestión. Una medida que es eficaz para un sistema de información tradicional que apoya a los seres humanos que toman decisiones puede no ser eficaz cuando se aplica a una aplicación de aprendizaje automático que toma decisiones automáticas; una medida que funciona bien para el procesamiento de bajo volumen en un entorno pequeño puede no ampliarse a un procesamiento de alto volumen; y una medida que funciona eficazmente cuando se utilizan procesadores de confianza (que a su vez están sujetos al RGPD) puede no ser eficaz y suficiente cuando se utilizan procesadores menos confiables (como los ubicados en 3rd países y no están obligados por el RGPD).

El art. 5(2) exige que los responsables del tratamiento puedan demostrar el cumplimiento del RGPD. Un aspecto importante de esto es poder demostrar que las medidas aplicadas son realmente eficaces. Debe ser parte integrante del proceso de toma de decisiones sobre las medidas a aplicar. Las dimensiones de la eficacia se indican en el artículo 25, apartado 1, y se han analizado. 25(1) y se han discutido anteriormente.

 

 

  1. Véase el apartado 22 de las directrices del Comité Europeo de Protección de Datos (CEPD) sobre la protección de datos por diseño y por defecto (Data Protection by Design and Default o DPbDD).

 

Ir al contenido