Un concepto clave en el RGPD/GDPR: la responsabilidad proactiva

Una de las cuestiones esenciales para actuar conforme al Reglamento en materia de protección de datos (RGPD) es la necesidad de asignar un responsable a cada uno de los tratamientos de datos personales que se realicen.

La principal diferencia con la anterior normativa radica en el cambio de perspectiva que el RGPD establece, pasando de una responsabilidad reactiva a una responsabilidad proactiva del responsable. El responsable del tratamiento de datos ve modificado su rol de manera sustancial bajo la nueva normativa. Como ejemplo, ya no existe la obligación de notificar a la autoridad de control el tratamiento de datos, pero los responsables deberán llevar un registro de las actividades efectuadas bajo su cargo.

La responsabilidad proactiva aparece explícitamente reconocida en el artículo 5 del RGPD, como uno de los principios generales en materia de protección de datos personales, señalándose que el responsable debe cumplir lo dispuesto en el RGPD y ser capaz de demostrarlo.

Recuerda: El responsable del tratamiento debe indemnizar cualquier daño y perjuicio que pueda sufrir una persona como consecuencia de un tratamiento en infracción del RGPD

La responsabilidad proactiva se traduce en la práctica en las siguientes obligaciones para los responsables:

 

a) llevar un registro de sus actividades

Para demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Los responsables están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.

Conforme al artículo 30 del RGPD, el registro deberá recoger la siguiente información:

  • el nombre y los datos de contacto del responsable, corresponsable, representante del responsable y del delegado de protección de datos (si los hubiere)
  • los fines del tratamiento
  • descripción de las categorías de interesados y de datos personales.
  • categorías de destinarios a quienes se comunicaron o comunicarán los datos personales
  • transferencias de datos personales a un tercer país o una organización internacional (si las hubiere)
  • los plazos previstos para la supresión de las diferentes categorías de datos
  • descripción general de las medidas técnicas y organizativas de seguridad

b) analizar los riesgos y adoptar medidas de seguridad

Cuando sea probable que un tratamiento entrañe un alto riesgo, el responsable del tratamiento deberá evaluar el impacto del tratamiento en los datos personales antes de realizar el tratamiento.

Puedes leer más sobre las evaluaciones de impacto en nuestro artículo La evaluación de impacto en la privacidad como nueva responsabilidad en el RGPD

c) aplicar medidas técnicas y organizativas apropiadas

La nueva normativa ya no hace referencia a medidas concretas de seguridad, si no que establece que deben adoptarse las medidas técnicas y organizativas necesarias y apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento.

Deberá aplicar esta medidas ya desde la fase de diseño de aplicaciones, servicios y productos (“privacy by design”) que permitan o realicen un tratamiento de datos personales. Sólo se procesarán los datos personales necesarios en relación con los fines para los que fueron recogidos. (“privacy by default”).

En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el
presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.

control

 

d) obligación de notificar las brechas de seguridad de datos personales

En el supuesto de que se produzca una brecha de seguridad, la nueva normativa impone al responsable del tratamiento el deber de notificarla a la autoridad de control competente, con la mayor brevedad posible desde que hubiese tenido conocimiento de la misma.

Puedes leer más sobre las brechas de seguridad en nuestro artículo ¿Qué debemos hacer ante una brecha de seguridad?
e) consultar previamente a la autoridad de control

De conformidad con el principio de responsabilidad proactiva, el artículo 36 del RGPD establece que el responsable consultará a la autoridad de control antes de proceder al tratamiento cuando una evaluación de impacto muestre que éste entrañaría un alto riesgo si el responsable no toma medidas para para mitigarlo.
f) elaborar y actualizar las políticas de privacidad

El responsable del tratamiento deberá elaborar y mantener actualizadas las políticas de protección de datos, siempre que sean proporcionadas a su tratamiento. En nuestro artículo ¿Qué debe contener la política de privacidad de una empresa? analizamos en detalle el contenido de las mismas.

La designación de un representante o delegado de protección de datos no afecta a la responsabilidad del responsable, que sigue siendo responsable del tratamiento.

Más información:

2018, the GDPR Year! The key word is ACCOUNTABILITY!

Guía de la Agencia Española de Protección de datos para responsables de tratamientos de datos personales

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: