¿Cuáles son las obligaciones de los responsables de tratamientos de datos personales?

La nueva normativa en materia de protección de datos personales hace hincapié en la responsabilidad proactiva de los responsables y encargados de este tipo de tratamientos. En este artículo queremos explicaros en detalle las obligaciones que contiene el Reglamento general de protección de datos (RGPD) para los responsables de tratamientos de datos personales.
1. mantener un registro de operaciones de tratamiento de datos personales

Como vimos en nuestra entrada El registro de actividades como nueva obligación en el Reglamento en materia de protección de datos (RGPD), el artículo 30 del RGPD establece que el responsable deberá llevar a cabo un registro de todas las actividades que impliquen un tratamiento de datos personales. El responsable debe ser consciente y llevar una lista de sus procesos, especificando:

  • la categoría de datos personales que trata,
  • los fines del tratamiento,
  • una descripción de los interesados (“data subjects”),
  • en su caso, la existencia de transferencias internacionales,
  • los plazos previstos para la finalización del tratamiento,
  • una descripción general de las medidas técnicas y organizativas de seguridad aplicadas en esos tratamientos
  • y facilitar su nombre y datos de contacto y los del delegado de protección de datos, cuando exista.

Además, todos los responsables y encargados están obligados a cooperar con la autoridad de control, y a poner a su disposición dichos registros.
2. establecer medidas organizativas y técnicas apropiadas para garantizar un nivel de seguridad adecuado

El responsable del tratamiento de datos personales aplicará las medidas técnicas y organizativas apropiadas, desde su diseño, teniendo en cuenta una serie de factores:

  • el estado de la técnica,
  • el coste de su aplicación,
  • naturaleza, contexto, ámbito y fines del tratamiento
  • y los riesgos que conlleva el tratamiento de esos datos personales.

3. identificar claramente la base legal que permiten el tratamiento de datos personales

Cuando se inicien actividades que conllevan el tratamiento de datos personales, el responsable, debe siempre considerar cuál es el fundamento jurídico o base legal que le autoriza a desempeñar esta labor.

El RGPD recoge en su artículo 5, seis bases jurídicas diferentes que pueden autorizar/justificar el tratamiento de datos personales. A estas bases jurídicas nos referimos en nuestra entrada ¿Cuándo podemos tratar datos personales?.
4. documentar que el tratamiento es acorde al RGPD

El RGPD se fundamenta en la “responsabilidad proactiva” del responsable del tratamiento de datos personales. Así, el responsable no sólo debe hacer un tratamiento conforme al Reglamento sino que debe ser capaz de demostrar que cumple todas las condiciones exigidas por la normativa europea (es decir que se trate de un proceso lícito, leal, transparente en relación con el interesado en el que se respeten los principios de minimización de datos, exactitud y limitación del plazo de conservación).
5. realizar una valoración de riesgos

En La evaluación de impacto en la privacidad como nueva responsabilidad en el RGPD explicamos que en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento deberá realizar una evaluación de impacto en la que se analice, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.

analisis
6. notificar a la autoridad de protección de datos competente las violaciones de seguridad

Las violaciones de seguridad de datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas. Por eso, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de datos personales, el responsable debe, sin dilación indebida y, en el plazo máximo de 72 horas, notificarla a la autoridad de control competente.

El responsable del tratamiento debe comunicar también al interesado sin dilación indebida esta violación en caso de que pueda entrañar un alto riesgo para sus derechos y libertades, y permitirle tomar las precauciones necesarias.
7. informar a los interesados (“data subjects”) de sus derechos y los aspectos esenciales de los tratamientos que les afecten.

Conforme al nuevo RGPD, los interesados tienen una serie de derechos que deben ser respetados por todos aquéllos que traten sus datos personales. Para reforzar sus derechos, la normativa europea exige que el responsable informe a los interesados de sus derechos y de cómo/ante quién ejercitarlos.

Más información:

10 consejos prácticos para responsables de tratamientos de datos personales

¿Qué ley aplicar en materia de protección de datos personales?

Un comentario sobre “¿Cuáles son las obligaciones de los responsables de tratamientos de datos personales?

Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: