El nuevo Reglamento General de Protección de Datos (RGPD) introduce un cambio drástico en materia de responsabilidad que se proyecta sobre todas las obligaciones a las que están sometidas instituciones y organizaciones, se trata del principio de responsabilidad proactiva o accountability.
El RGPD describe este principio como la necesidad de que los responsables del tratamiento apliquen medidas técnicas y organizativas apropiadas, no sólo para garantizar el cumplimiento de la normativa, sino también para de mostrarante interesados y autoridades de supervisión, dicho cumplimiento.
Lo cual se traduce en la exigencia de una mayor implicación por parte de los responsables y los encargados con una actitud proactiva y consciente. Así queda reflejado en el considerando74 del Reglamento:
(…) El responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrarla conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.
Con este nuevo modelo, corresponde a las empresas determinar cuál es la mejor estrategia para proteger los derechos y las libertades de las personas. De esta forma, se les atribuye una responsabilidad pro activa en lugar de reactiva, por la que deben con carácter previo, extremar de forma sistemática la diligencia para respetar los intereses de los ciudadanos en el ámbito de su privacidad.
La Agencia Española de protección de Datos (AEPD) resume en una frase sencilla y directa este gran principio vertebrador:“no incumplir ya no será suficiente.
Existe un importante cambio con respecto al régimen actual(Ley Orgánica de Protección de Datos, LOPD)que buscaba evitar la infracción de los derechos de los interesados como obligación principal. Mientras que el RGPD trata de anticiparse a la infracción o lesión de derechos.
Así mismo, el principio de responsabilidad proactiva o accountability pone de relieve la necesidad de dar visibilidad a las buenas prácticas en la protección de datos, lo cual se manifiesta en el artículo42 del Reglamento:
Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.
El establecimiento de mecanismos de certificación y sellos de calidad, permite evaluar rápidamente el nivel de protección de una empresa, es por ello que una marca de estas características puede convertirse a su vez, en un elemento de distinción que promueve la competitividad.
El RGPD también hace hincapié en la rendición de cuentas eficaz al hablar de las siguientes medidas, entre otras:
Registro de actividades: se establecen nuevas obligaciones de documentación del tratamiento para los responsables o los encargados que deben llevar a cabo un registro de tas las actividades de tratamiento que realice la entidad.
Protección de datos desde el diseño: el responsable aplicará, tanto en el momento de determinar los medios de tratamiento como en el tratamiento mismo, las medidas técnicas y organizativas adecuadas para ofrecer las garantías necesarias y cumplir los requerimientos del Reglamento.
Protección de datos por defecto: el responsable aplicará las medidas técnicas y organizativas adecuadas para garantizar que, por defecto, sólo se traten los datos personales necesarios para cada finalidad específica del tratamiento.
Medidas de seguridad: a diferencia de la normativa actual, el RGPD no estipula un listado de las medidas de seguridad a aplicar, sino que establece que el responsable y el encargado sean quienes decidan qué medidas técnicas y organizativas son las adecuadas según el riesgo que conlleva el tratamiento.
Evaluaciones de Impacto:cuando sea probable que un tratamiento, especialmente si se utilizan las nuevas tecnologías, por su naturaleza, alcance, contexto o finalidades, suponga un alto riesgo para los derechos y libertades de las personas físicas, el responsable debe realizar una evaluación del impacto.
Autorización previa o consultas previas: si tras la evaluación de impacto se observa que el tratamiento previsto podría infringir elRGPD, el responsable debe hacer una consulta a la autoridad de control que aconsejará sobre la manera correcta de proceder o, en su caso, prohibirá el tratamiento.
DPO, delegado de protección de datos: este perfil, como hemos comentado en artículos precedentes, es el encargado de informar y asesorar al responsable o al encargado y a los trabajadores sobre las obligaciones que impone la normativa, supervisar su cumplimiento, asesorar sobre la evaluación de impacto y cooperar con la autoridad de control, entre otras tareas.
Notificación de violación de seguridad: si se produce una violación de la seguridad, el responsable debe notificarlo a la autoridad de control en un plazo máximo de 72 horas.
Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores y ayudas a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.
Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí