GDPR: ¿qué medidas de responsabilidad proactiva exige?

El nuevo Reglamento Europeo de Protección de Datos (GDPR), que será aplicable a partir del próximo 25 de mayo de 2018, introduce un cambio histórico en materia de compromiso a través del concepto de responsabilidad proactiva o “accountability”.

Este principio de responsabilidad proactiva es el elemento esencial de uno de los pilares donde se sustenta esta legislación: la obligación de prevenir daños por parte de todas las organizaciones que traten datos de carácter personal.

A continuación, realizaremos un breve análisis de las medidas de responsabilidad proactiva que establece el GDPR.

Este post también está disponible en inglés.

Reglamento Europeo de Protección de Datos: asegurar y demostrar

Todas las empresas, autónomos y entidades tienen la obligación de adaptar aquellas medidas que aseguren razonablemente que, a priori, están en condiciones de cumplir con los principios, garantías y derechos establecidos en el Reglamento. El objetivo es evitar a los titulares de los datos unos daños que a posteriori pueden ser muy difíciles o imposibles de reparar.

“La protección de las personas físicas en relación con 
el tratamiento de datos personales es un derecho fundamental (...)”

Considerando 1 GDPR

Además no sólo se tendrá que cumplir, sino también estar en condiciones de acreditar que se cumple el Reglamento. El objetivo es evitar así los riesgos de diversa probabilidad y gravedad para los derechos fundamentales de los usuarios.

Existe un importante cambio con respecto al régimen actual (Ley Orgánica de Protección de Datos, LOPD) que busca evitar la infracción de los derechos de los interesados como obligación principal. El futuro GDPR trata de anticiparse a la infracción o lesión de derechos, aunque también establece importantes sanciones cuando no se cumpla con la normativa .

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar la forma en que aplicarán las medidas que el GDPR prevé, asegurándose de que esas medidas son las más adecuadas y que pueden demostrarlo ante los interesados y las autoridades ante una supervisión.

Medidas de responsabilidad activa

Las medidas que el GDPR exige a los responsables, y en ocasiones a los encargados, aplicar para garantizar que los tratamientos se realizan adecuadamente y puedan demostrarlo son las siguientes:

1. Análisis de riesgo 

El nuevo GDPR exige que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. 

El tipo de análisis variará en función de: 

• los tipos de tratamiento,
• la naturaleza de los datos,
• el número de interesados afectados,
• la cantidad y variedad de tratamientos que una misma organización lleve a cabo.

Estos análisis pueden ser muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo datos sensibles. Pero pueden resultar más complejos en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieran de una valoración cuidadosa de sus riesgos.

2. Registro de actividades de tratamiento 

Principio de Transparencia  “Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. (art. 5.1.a GDPR)

Este principio se centra en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.

Su materialización conlleva un importante cambio, ya que desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control por un nuevo “Registro de actividades de tratamiento”.

Este registro se llevará a cabo de forma interna y contendrá, entre otros, los siguientes datos:

• nombre y datos de contacto del responsable del tratamiento,
• nombre y datos del Delegado de Protección de Datos,
• finalidad del tratamiento,
• descripción de categorías del interesado,
• descripción de categorías de datos tratados,
• las transferencias internacionales de datos.

En España, este nuevo registro puede integrarse de momento en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca de su formato y gestión.

3. Protección de datos desde el diseño y por defecto

Actualmente el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (RLOPD) establece en España la obligación de aplicar diferentes medidas en función del nivel de seguridad - básico, medio o alto - de los datos tratados.

El nuevo GDPR no distingue entre los niveles de los ficheros, sino que especifica que se apliquen medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. (Artículo 25 Protección de datos desde el diseño y por defecto).

La protección de datos desde el diseño y por defecto es una cuestión de estrategia que, tanto el responsable como el encargado del tratamiento, deben tener en consideración para asegurar el derecho a la protección de datos mediante la adopción de medidas que consideren al titular de los datos personales, desde el principio en el que se genera una idea que pueda dar lugar a una aplicación, servicio o producto.

4. Medidas de seguridad

El nuevo Reglamento europeo de protección de datos habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta cuáles de las existentes las considera óptimas para cada caso.

El GDPR, bajo el principio de responsabilidad proactiva (Artículo 5.2), exige al responsable del tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Algunos de estos medidas serían por ejemplo la custodia de soportes, la seguridad en redes de comunicación, las copias de respaldo o el control de acceso a los datos.

El GDPR propone, como mecanismos efectivos de verificación del cumplimiento, la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del  GDPR).

Por tanto, lo que el GDPR exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad aplicadas.

5. Notificación de violaciones de seguridad de los datos

Otra de las novedades más importantes se trata de una nueva obligación que el GDPR impone al responsable del tratamiento: notificar las violaciones de seguridad de los datos.

Es decir, el responsable del tratamiento de los datos deberá notificar a la autoridad competente (AEPD en España) cualquier violación de la seguridad que se haya producido en el plazo de 72 horas desde que ocurra. Además, si la violación implica un riesgo para los interesados, también se les deberá notificar a ellos.

Aclarar que entenderemos como violaciones de seguridad o brecha de seguridad todo incidente que origine la destrucción, pérdida o modificación, ya sea de forma accidental o ilícita, de datos personales, o la comunicación o acceso no autorizado a dichos datos.

6. Evaluación de impacto sobre la protección de datos

Otra nueva obligación que establece el GDPR es la de realizar una evaluación de impacto sobre la protección de datos (Privacy Impact Assessment) con carácter previo para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de los interesados. 

Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del GDPR). 

Aunque el Reglamento no contempla ninguna metodología específica para su realización, establece un contenido mínimo de las Evaluaciones de Impacto:

• La descripción detallada de lo siguiente:
1. las operaciones de datos previstas,
2. las distintas finalidades del tratamiento y
3. En su caso, del interés legítimo perseguido por el responsable;
• Un análisis de la necesidad y la proporcionalidad de las antes citadas operaciones de tratamiento en relación a su finalidad;

• La necesaria evaluación de los riesgos para los derechos y libertades de los interesados anteriormente mencionados, y
• Las medidas previstas para afrontar dichos riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos y demuestren el cumplimiento del Reglamento.

Para facilitar esta labor, la Agencia Española de Protección de Datos publicó en 2014 una Guía para la Evaluación de Impacto en la Protección de los Datos Personales, en la que se establecen las bases y aspectos esenciales que deberán tener en cuenta los obligados a realizar la evaluación de impacto.

Post relacionado >> Infografía GDPR: protección de datos para la era digital en Europa

Conclusión

En síntesis, lo que el GDPR exige es un actitud consciente, diligente y proactiva del tratamiento de los datos que se lleven a cabo, pudiendo demostrar las medidas de seguridad aplicadas si llegara el caso.

Actuar solo cuando ya se ha producido una infracción es insuficiente para este nuevo Reglamento. Se impone el cumplimiento proactivo de la norma como medio para generalizar una práctica segura y respetuosa con la privacidad en la UE.Lo que busca Bruselas es la implantación y arraigo de una cultura de cumplimiento en las organizaciones. Por ese motivo, la transparencia y el respeto a la privacidad de los datos personales debes ser objetivos fundamentales para las empresas, autónomos y entidades de hoy en día.

Este post también está disponible en inglés.