L'adopció de mesures de seguretat: una obligació de mitjans o de resultat?

Abstract

La irrupció de noves tecnologies i la progressiva transformació digital de la nostra societat ha impactat de ple en el funcionament de les administracions públiques i les entitats privades. L’exposició a nous riscos i amenaces, sovint en un context d’alta dependència de les tecnologies de la informació, evidencia que cal que les organitzacions implantin eines i mesures adequades per garantir la protecció de les dades personals, des del disseny i per defecte (privacy by design and by default). En relació amb això, l’article 25 del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, sobre protecció de dades (RGPD), sota l’epígraf "Protecció de dades des del disseny i per defecte", recull l’obligació del responsable del tractament d’integrar les garanties adequades per protegir els drets i les llibertats de la ciutadania, fins i tot en les fases inicials del disseny de productes o serveis. El mateix precepte també estableix l’obligació de protegir les dades per defecte, en totes les etapes dels seus cicles de vida.