Artículo 32

Seguridad del tratamiento

  • Teniendo en cuenta el estado de la t√©cnica, los costes de aplicaci√≥n, y la naturaleza, el alcance, el contexto y los fines del tratamiento, as√≠ como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas f√≠sicas, el responsable y el encargado del tratamiento aplicar√°n medidas t√©cnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
    • a) la seudonimizaci√≥n y el cifrado de datos personales;
    • b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    • c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma r√°pida en caso de incidente f√≠sico o t√©cnico;
    • d) un proceso de verificaci√≥n, evaluaci√≥n y valoraci√≥n regulares de la eficacia de las medidas t√©cnicas y organizativas para garantizar la seguridad del tratamiento.
  • Al evaluar la adecuaci√≥n del nivel de seguridad se tendr√°n particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucci√≥n, p√©rdida o alteraci√≥n accidental o il√≠cita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicaci√≥n o acceso no autorizados a dichos datos.
  • La adhesi√≥n a un c√≥digo de conducta aprobado a tenor del art√≠culo¬†40 o a un mecanismo de certificaci√≥n aprobado a tenor del art√≠culo¬†42 podr√° servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado¬†1 del presente art√≠culo.
  • El responsable y el encargado del tratamiento tomar√°n medidas para garantizar que cualquier persona que act√ļe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que est√© obligada a ello en virtud del Derecho de la Uni√≥n o de los Estados miembros.