Article 35. Seguretat i confidencialitat del tractament
HomeArticle 35. Seguretat i confidencialitat del tractament
- Tenint en compte l’estat de la tècnica, el cost d’aplicació i la naturalesa, l’abast, el context i les finalitats del tractament, així com els riscos de probabilitat i de gravetat diversa per als drets i les llibertats de les persones físiques, el responsable i l’encarregat del tractament
han d’aplicar les mesures tècniques i organitzatives apropiades per garantir un nivell de seguretat adequat al risc, que si escau inclogui, entre altres:
a) La pseudonimització i el xifrat de dades personals.
b) La capacitat de garantir la confidencialitat, la integritat, la disponibilitat i la resiliència permanents dels sistemes i dels serveis de tractament.
c) La capacitat de restaurar la disponibilitat i l’accés a les dades personals de manera ràpida, en cas d’incident físic o tècnic.
d) Un procés per verificar, avaluar i valorar regularment l’eficàcia de les mesures tècniques i organitzatives establertes per garantir la seguretat del tractament.
Reglamentàriament es poden establir mesures addicionals. - En avaluar l’adequació del nivell de seguretat, cal tenir particularment en compte els riscos que presenta el tractament de dades, en especial com a conseqüència de la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.
- L’adhesió a codis de conducta o a un mecanisme de certificació aprovat de conformitat amb la normativa de protecció de dades personals de la Unió Europea que tingui validesa general dins de la Unió, pot servir d’element per demostrar que es compleixen els requisits
que estableix l’apartat 1 d’aquest article. - El responsable i l’encarregat del tractament han de prendre mesures per garantir que qualsevol persona que actua sota la seva autoritat i que té accés a dades personals només pot tractar aquestes dades seguint les instruccions del responsable, tret que estigui obligada en virtut d’una exigència legal a fer-ho altrament.
- A més dels deures de secret professional de conformitat amb la normativa aplicable, els responsables del tractament de dades i encarregats del tractament, així com totes les persones que intervinguin en qualsevol de les seves fases estan subjectes al deure de confidencialitat, que es manté encara que hagi finalitzat la relació de l’obligat amb el responsable del tractament o l’encarregat del tractament.