El principio de responsabilidad proactiva de RGPD – Cómo cumplirlo

El principio de responsabilidad proactiva de RGPD no es más que la demostración de que su empresa ha desarrollado las medidas necesarias para cumplir con la actual normativa europea sobre la protección de datos. Un reglamento que ya entró en vigor oficialmente a partir del 25 de mayo de 2018 donde se introduce este nuevo compromiso. Cuyo término lo podéis encontrar e en inglés como “accountability”.

Para ello se deberá analizar tanto los datos que se tratan,  su propia finalidad y el tipo de operaciones que se realizan. Una vez obtenido el informe se puede determinar de forma más exacta que medidas utilizar para cumplir el RGPD. Y disponer de las herramientas necesarias para demostrarlo ante posibles interesados o las propias autoridades. Es definitiva, esto es básicamente cumplir con el principio de responsabilidad proactiva.

Medidas de responsabilidad proactiva que exige el RGPD

El objetivo principal del principio de responsabilidad proactiva de RGPD, no es más que evitar posibles riesgos que atenten con los derechos fundamentales de los usuarios. No  hay que olvidar que existen importantes sanciones. Afortunadamente, en la propia normativa existen una serie de medidas como base para  poder  cumplir con el principio de responsabilidad proactiva de RGPD con mayor efectividad.

Estas son las medidas de responsabilidad activa más importantes:

  • Análisis de riesgo: Es importante para determinar qué medidas se deben aplicar. Existen distintos tipos de análisis de riesgo dependiendo de la naturaleza de los datos, número de usuarios…etc.
  • Registro de actividades de tratamiento: Tal como menciona el principio de transparencia en el art. 5.1.a de RGPD, “Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. Esto conlleva a un importante cambio. Ya no hay obligación de notificar y registrar los ficheros ante la autoridad de control. El registro se llevará a partir de ahora de forma interna. Tampoco se distinguen entre los niveles de ficheros.
  • Medidas de seguridad. Bajo el principio de responsabilidad proactiva de RGPD se exige al responsable de tratamiento de datos, la aplicación de medidas técnicas y organizativas que garantice que se cumple con la nueva normativa. Por ejemplo, mediante custodia de soportes, seguridad en redes, control de acceso o copias de respaldo.
  • Notificación de violaciones de seguridad de los datos. Es una de las novedades más importantes del RGPD, que impone la obligación de notificar a la autoridad competente cualquier violación de seguridad de los datos tratados. En España se dispondrá de un plazo de 72 horas para notificarlo a la AEPD. Y si implica algún posible riesgo para los interesados también se le deberá comunicar personalmente.
  • Evaluación de impacto. Se trata de una medida obligatoria para el tratamiento de datos de alto riesgo. Se debe realizar una evaluación tanto del origen, naturaleza, particularidad y la gravedad de dicho riesgo. Aún no se contempla ninguna metodología específica pero se establece un contenido mínimo. Una descripción detallada de las operaciones, su finalidad y el interés legítimo del responsable. Existe un  manual para la Evaluación de Impacto de la Agencia Española de Protección de Datos que puede servir de guía.

Deja una respuesta