5 min
Posted by media on 6/03/18 9:00
El nuevo Reglamento Europeo de Protección de Datos (GDPR), que será aplicable a partir del próximo 25 de mayo de 2018, introduce un cambio histórico en materia de compromiso a través del concepto de responsabilidad proactiva o “accountability”.
Este principio de responsabilidad proactiva es el elemento esencial de uno de los pilares donde se sustenta esta legislación: la obligación de prevenir daños por parte de todas las organizaciones que traten datos de carácter personal.
A continuación, realizaremos un breve análisis de las medidas de responsabilidad proactiva que establece el GDPR.
Este post también está disponible en inglés.
Todas las empresas, autónomos y entidades tienen la obligación de adaptar aquellas medidas que aseguren razonablemente que, a priori, están en condiciones de cumplir con los principios, garantías y derechos establecidos en el Reglamento. El objetivo es evitar a los titulares de los datos unos daños que a posteriori pueden ser muy difíciles o imposibles de reparar.
“La protección de las personas físicas en relación con
el tratamiento de datos personales es un derecho fundamental (...)”
Considerando 1 GDPR
Además no sólo se tendrá que cumplir, sino también estar en condiciones de acreditar que se cumple el Reglamento. El objetivo es evitar así los riesgos de diversa probabilidad y gravedad para los derechos fundamentales de los usuarios.
Existe un importante cambio con respecto al régimen actual (Ley Orgánica de Protección de Datos, LOPD) que busca evitar la infracción de los derechos de los interesados como obligación principal. El futuro GDPR trata de anticiparse a la infracción o lesión de derechos, aunque también establece importantes sanciones cuando no se cumpla con la normativa .
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar la forma en que aplicarán las medidas que el GDPR prevé, asegurándose de que esas medidas son las más adecuadas y que pueden demostrarlo ante los interesados y las autoridades ante una supervisión.
Las medidas que el GDPR exige a los responsables, y en ocasiones a los encargados, aplicar para garantizar que los tratamientos se realizan adecuadamente y puedan demostrarlo son las siguientes:
El nuevo GDPR exige que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo.
El tipo de análisis variará en función de:
Estos análisis pueden ser muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo datos sensibles. Pero pueden resultar más complejos en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieran de una valoración cuidadosa de sus riesgos.
Principio de Transparencia “Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. (art. 5.1.a GDPR)
Este principio se centra en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
Su materialización conlleva un importante cambio, ya que desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control por un nuevo “Registro de actividades de tratamiento”.
Este registro se llevará a cabo de forma interna y contendrá, entre otros, los siguientes datos:
En España, este nuevo registro puede integrarse de momento en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca de su formato y gestión.
Actualmente el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD) establece en España la obligación de aplicar diferentes medidas en función del nivel de seguridad - básico, medio o alto - de los datos tratados.
El nuevo GDPR no distingue entre los niveles de los ficheros, sino que especifica que se apliquen medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. (Artículo 25 Protección de datos desde el diseño y por defecto).
La protección de datos desde el diseño y por defecto es una cuestión de estrategia que, tanto el responsable como el encargado del tratamiento, deben tener en consideración para asegurar el derecho a la protección de datos mediante la adopción de medidas que consideren al titular de los datos personales, desde el principio en el que se genera una idea que pueda dar lugar a una aplicación, servicio o producto.
El nuevo Reglamento europeo de protección de datos habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta cuáles de las existentes las considera óptimas para cada caso.
El GDPR, bajo el principio de responsabilidad proactiva (Artículo 5.2), exige al responsable del tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Algunos de estos medidas serían por ejemplo la custodia de soportes, la seguridad en redes de comunicación, las copias de respaldo o el control de acceso a los datos.
El GDPR propone, como mecanismos efectivos de verificación del cumplimiento, la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del GDPR).
Por tanto, lo que el GDPR exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad aplicadas.
Otra de las novedades más importantes se trata de una nueva obligación que el GDPR impone al responsable del tratamiento: notificar las violaciones de seguridad de los datos.
Es decir, el responsable del tratamiento de los datos deberá notificar a la autoridad competente (AEPD en España) cualquier violación de la seguridad que se haya producido en el plazo de 72 horas desde que ocurra. Además, si la violación implica un riesgo para los interesados, también se les deberá notificar a ellos.
Aclarar que entenderemos como violaciones de seguridad o brecha de seguridad todo incidente que origine la destrucción, pérdida o modificación, ya sea de forma accidental o ilícita, de datos personales, o la comunicación o acceso no autorizado a dichos datos.
Otra nueva obligación que establece el GDPR es la de realizar una evaluación de impacto sobre la protección de datos (Privacy Impact Assessment) con carácter previo para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de los interesados.
Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del GDPR).
Aunque el Reglamento no contempla ninguna metodología específica para su realización, establece un contenido mínimo de las Evaluaciones de Impacto:
Para facilitar esta labor, la Agencia Española de Protección de Datos publicó en 2014 una Guía para la Evaluación de Impacto en la Protección de los Datos Personales, en la que se establecen las bases y aspectos esenciales que deberán tener en cuenta los obligados a realizar la evaluación de impacto.
Post relacionado >> Infografía GDPR: protección de datos para la era digital en Europa
Conclusión
En síntesis, lo que el GDPR exige es un actitud consciente, diligente y proactiva del tratamiento de los datos que se lleven a cabo, pudiendo demostrar las medidas de seguridad aplicadas si llegara el caso.
Actuar solo cuando ya se ha producido una infracción es insuficiente para este nuevo Reglamento. Se impone el cumplimiento proactivo de la norma como medio para generalizar una práctica segura y respetuosa con la privacidad en la UE.Lo que busca Bruselas es la implantación y arraigo de una cultura de cumplimiento en las organizaciones. Por ese motivo, la transparencia y el respeto a la privacidad de los datos personales debes ser objetivos fundamentales para las empresas, autónomos y entidades de hoy en día.
Este post también está disponible en inglés.
¿Necesitas más información?
Contacta con nosotrosSubscríbete a nuestra newsletter
Subscríbete a nuestra newsletter
Digitalizar tu empresa con Signaturit es muy fácil. Regístrate en nuestra newsletter y recibe 1 email a la semana con nuestros mejores consejos, eventos y novedades de producto.
¡Únete a las miles de empresas que ya han digitalizado sus departamentos de recursos humanos!
© Copyright Signaturit 2022
Made in Europe