Responsabilidad proactiva en el RGPD (Accountability) (6)
Publicado de AmyPc en RGPD-GDPR · Domingo 02 Abr 2017
Tags: responsabilidad, proactiva, accountability, rgpd
Tags: responsabilidad, proactiva, accountability, rgpd
Responsabilidad proactiva (Accountability)
El RGPD introduce un nuevo concepto de responsabilidad que requiere que el Responsable sea capaz de demostrar que cumple con lo que el Reglamento establece. El responsable aplicará las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.
Desaparece la obligación de cumplir unas medidas de seguridad determinadas, tal como establecía el Reglamento de desarrollo de la LOPD (RLOPD 1720/2007) y cada entidad tendrá la libertad para determinar las medidas de prevención que considere más adecuadas. A cambio, se establece una obligación de resultados: el poder demostrar el respeto y cumplimiento de los principios de la seguridad y de la protección de los datos que trata, dejando a cada Responsable que utilice los medios que crea más convenientes para conseguirlo.
Se establecen también los principios “Privacy by design” y “Privacy by default” (privacidad desde el diseño y por defecto):
Privacy by design: el Responsable deberá aplicar las medidas de seguridad adecuadas para el tratamiento de los datos desde el inicio de ese tratamiento, incluidos los programas informáticos que utilice para realizarlo, por lo que será necesario revisar las aplicaciones de que se disponga y exigir a sus diseñadores que las mismas estén listas para antes del 25/05/2018.
Privacy by default: el Responsable deberá tratar, por defecto, solamente los datos que le resulten estrictamente necesarios para cumplir la finalidad deseada y tratar estos datos durante el plazo mínimo que necesite para cumplir esa finalidad.
El responsable deberá llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad pero sólo estarán obligados a llevar este tipo de registro las siguientes entidades:
• Cuando empleen a más de 250 empleados.
• Cuando el tratamiento que realizan pueda entrañar un riesgo para los derechos y libertades de los interesados y no tenga un carácter ocasional
• Cuando traten categorías especiales de datos
• Cuando traten datos relativos a condenas y delitos penales.
El Responsable realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos (EIPD) cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la EIPD que será obligatoria en los siguientes casos:
a) evaluación sistemática y exhaustiva de perfiles que puedan producir efectos jurídicos;
b) tratamiento a gran escala de las categorías especiales de datos o de los datos relativos a condenas e infracciones penales;
c) observación sistemática a gran escala de una zona de acceso público.
La EIPD deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad
c) una evaluación de los riesgos para los derechos y libertades de los interesados
d) las medidas previstas para afrontar los riesgos
El responsable y el encargado del tratamiento designarán un Delegado de protección de datos (DPO) siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público;
b) sus actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala
c) sus actividades consistan en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
Acciones a realizar:
• Desaparece la obligación de la inscripción de ficheros en la AEPD, ya que no ha contribuido a mejorar la protección de los datos personales, pero no será hasta después del 25/05/2018.
• Poner en marcha el registro de actividades en los casos previstas.
• Realizar las primeras EIPD ya que este proceso requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.
• Designar, si es de aplicación a la entidad, un DPO.