Mientras que el art. 5(1)(f) del RGPD establece de forma abstracta que se utilizarán “medidas técnicas u organizativas apropiadas” para aplicar los objetivos de protección de la seguridad antes mencionados, el art. 32 del RGPD ofrece más detalles.
El apartado 1 del artículo 32 establece que, al decidir las medidas adecuadas, los responsables del tratamiento tendrán en cuenta “el estado de la técnica y los costes de aplicación“, así como “la naturaleza, el alcance, el contexto y los fines del tratamiento“. En particular, el contexto del tratamiento es relevante en este caso, ya que se puede argumentar que el panorama actual de amenazas es un aspecto del mismo. Como es de esperar, el responsable del tratamiento también deberá tener en cuenta “los riesgos para los derechos y libertades de las personas físicas”.
Así pues, el nivel de protección necesario depende claramente de la gravedad de las posibles consecuencias indeseables a las que se exponen los interesados y de un modelo de amenazas que estime la probabilidad de que se produzcan acontecimientos indeseables. Por tanto, la seguridad es sólo un medio, no un objetivo en sí mismo. El nivel de seguridad es suficiente cuando los riesgos para los interesados se reducen a un nivel aceptable. La selección de las medidas depende tanto de la oferta del mercado como de la rentabilidad de las mismas.
El art. 32(1)(d) del RGPD establece el concepto bien aceptado de que la seguridad es un proceso, no un objetivo que se alcanza una vez. En particular, el RGPD exige “un proceso para probar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.
El art. 32(2) del RGPD proporciona detalles adicionales marginales sobre lo que implican los objetivos de protección, enumerando “la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o tratados de otro modo”.
El artículo 32 (3) del RGPD sugiere que “el cumplimiento de un código de conducta aprobado o de un mecanismo de certificación aprobado puede utilizarse como elemento para demostrar el cumplimiento” del principio de integridad y confidencialidad.
El art. 32(4) del RGPD aclara que un elemento importante de la seguridad es garantizar que los empleados actúen únicamente siguiendo las instrucciones del responsable del tratamiento. Esto es necesario para establecer una clara responsabilidad y rendición de cuentas. También es necesario garantizar el requisito del art. 5(1)(f) de “protección contra el tratamiento no autorizado o ilícito”.
Del art. 25 del RGPD, se deduce que todos los requisitos planteados por el RGPD, incluida la seguridad, deben tenerse en cuenta durante todo el ciclo de vida de la actividad de tratamiento. Así pues, el RGPD también exige seguridad por diseño y por defecto. Así pues, la seguridad debe tenerse en cuenta también al principio del ciclo de vida, por ejemplo, mediante los requisitos utilizados para una licitación; y al final del ciclo de vida, por ejemplo, al migrar las operaciones a un nuevo sistema de tratamiento y desmantelar el antiguo.
El art. 30(1)(g) del RGPD exige que se enumeren específicamente las medidas de seguridad técnicas y organizativas en los registros de tratamiento que están dirigidos a las autoridades de supervisión.