Artículo 37. Actualizaciones de las medidas de seguridad. Los
responsables deberán actualizar las medidas de seguridad cuando ocurran los
siguientes eventos:
a) Se
modifiquen las medidas o procesos de seguridad para su mejora continua, derivado
de las revisiones a la política de seguridad del responsable;
b) Se
produzcan modificaciones sustanciales en el tratamiento o almacenamiento, que deriven
en un cambio del nivel de riesgo;
c) Se
modifique la plataforma tecnológica;
d) Se
vulneren los sistemas de tratamiento o almacenamiento de datos personales, de conformidad
con lo dispuesto en la Ley
y el presente Reglamento; o,
e) Exista
una afectación a los datos personales, distinta a las anteriores.
En el caso de datos personales sensibles, cuando la ley lo permita, el
responsable deberá revisar y, en su caso, actualizar las medidas de seguridad
correspondientes, al menos una vez al año.
|