El segundo post del Ciclo de artículos de la cuenta atrás del nuevo RGPD que será de aplicación obligatoria el próximo 25 de mayo, trata sobre la Responsabilidad Proactiva y sus obligaciones. Así pues, estamos hablando del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas por el que se deroga la directiva 95/46/CE (en adelante, RGPD) que como primer punto tratamos la obligatoriedad de designar un Delegado de Protección de Datos (DPD).
>¿Qué significa Responsabilidad Proactiva?
El Principio de Responsabilidad Proactiva hace referencia a la obligación que tiene el responsable del tratamiento de garantizar y poder demostrar que el tratamiento empleado es conforme a lo establecido por el nuevo RGPD. Así pues, debe hacer uso de todas las medidas técnicas y organizativas apropiadas para el cumplimiento de tal fin.
Además, el atributo proactivo hace referencia al hecho que las empresas deben poder demostrar en todo momento ante interesados y autoridades supervisoras que realmente cumplen con los puntos impuestos por el nuevo RGPD. Por lo tanto, las empresas deben de adoptar una actitud diligente y consciente ante el uso de datos personales en los tratamientos que empleen.
>Tipo de responsabilidades proactivas
1.Registro de actividades de tratamiento. Anteriormente, se venía exigiendo la inscripción de ficheros en el Registro General de Protección de Datos con el fin de velar por la publicidad de la existencia de los ficheros y tratamientos de datos de carácter personal. Pero con el RGPD se le sustituye por el Registro de actividades de tratamiento que los responsables y encargados deberán realizar y mantener de manera que contenga las informaciones impuestas por el RGPD. Con la excepción de las organizaciones con menos de 250 trabajadores. Algunas de las actividades a registrar son:
- Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos, si existiese.
- Finalidades del tratamiento.
- Descripción de categorías de interesados y categorías de datos personales tratados.
- Transferencias internacionales de datos.
2.Protección de Datos desde el Diseño y por Defecto. Se trata de una nueva obligación en virtud del nuevo RGPD, esta responsabilidad debe ser desarrollada antes y durante el tratamiento. Consiste en pensar en términos de protección de datos desde el mismo momento en que se diseña un tratamiento, producto o servicio. Así pues, implica el tratamiento de datos personales con el fin de tocar solo los datos necesarios.
3.Notificación de «violaciones de seguridad de datos». Antes del RGPD, solo se contemplaba la notificación de las violaciones o brechas de seguridad a los operadores de servicios de comunicaciones electrónicas disponibles al público. En cambio, el RGPD regula este ámbito de forma muy amplia. Incluye la destrucción, pérdida o alteración accidental o ilícita de datos personales, transmitidos, conservadores o tratados de otra forma. Como también, la comunicación o acceso a autorizados a dichos datos.
4.Delegado de Protección de Datos. Esta figura es una de las grandes novedades del RGPD. Aunque ya existía en algunos países europeos, ahora se establece como obligada en determinados supuestos. Su fin es el de garantizar el cumplimiento del nuevo RGPD en materia de protección de datos.
5.Medidas técnicas y organizativas. Hasta ahora, la legislación vigente establecía un listado de medidas de seguridad. Éstas son de aplicación de acuerdo con la tipología de datos objeto de tratamiento estableciendo tres niveles de seguridad. Siempre, atendiendo a la naturaleza de la información tratada. Con la entrada del nuevo RGPD cambia la exigencia. Ahora la empresa deberá realizar un análisis previo. A través del él, los responsables y encargados establecerán las medidas técnicas y organizativas que la empresa deberá adoptar. Su fin es el de garantizar un nivel de seguridad adecuado. Además, el RGPD ha determinado la necesidad de tomar en consideración de más variables para realizar un análisis completo como:
- El coste de la técnica
- Los costes de aplicación
- La naturaleza, el alcance, el contexto y los fines de tratamiento
- Los riesgos para los derechos y libertades
>Entre estas medidas, se incluyen dos novedades
6.Análisis de riesgos. Con el RGPD se establecen también medidas. Sin embargo, éstas están enfocadas a evaluar el riesgo que los tratamientos puedan suponer para los derechos y libertades de los interesados. Por lo tanto, el RGPD prevé dos maneras de manejar el riesgo:
- En algunos casos, determinadas medidas solo deberán aplicarse cuando el tratamiento suponga un alto riesgo para los derechos y libertades.
- En otros casos, las medidas deberán modularse en función del nivel y tipo de riesgo que el tratamiento conlleve.
7.Evaluación de Impacto sobre la Protección de Datos. La evaluación deberá ser realizada previamente a la puesta en marcha de los tratamientos. Sobre todo con aquellos que pueden conllevar un alto riesgo para los derechos y libertades de los interesados.