Responsabilidad del responsable del Tratamiento de datos en el Reglamento general de protección de datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 19/06/2018

La responsabilidad del responsable del tratamiento se especifica en el art. 42;RGPD.

 

Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se ponen de manifiesto a lo largo del texto normativo. Sin perjuicio de ello, resulta necesario hacer una especial mención a lo dispuesto en el artículo 24 del RGPD por cuanto que contempla lo que la propia norma denomina “responsabilidad del responsable del tratamiento”.

Pues bien, conforme señala el citado precepto, el responsable del tratamiento deberá de aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

Estas medidas deberán de ser adoptadas tomando en consideración la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. En todo caso, las medidas ejecutadas deberán ser objeto de revisión y actualización cuando resulte oportuno.

La correcta determinación o elección de las medidas por tanto requerirá realizar un análisis de los datos que son objeto de tratamiento, de la finalidad del mismo y de las operaciones que llevan o se llevarán a cabo. Solo a partir del conocimiento previo de estas circunstancias se podrán implementar las medidas que establece el RGPD.

Con respecto a la forma en la que se podrá acreditar el cumplimiento del Reglamento, este no determina el instrumento a través de cual el responsable deberá poder demostrar que trata los datos conforme al RGPD. No obstante, el párrafo tercero del artículo 24 señala -de forma ejemplificativa- dos mecanismos que servirán a los fines pretendidos, siendo estos la adhesión a códigos de conducta aprobados a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del art. 42RGPD.

El principio de responsabilidad proactiva que informa la regulación de las obligaciones del responsable de protección de datos en el Reglamento se refleja intensamente en el art. 25, RGPD. Así, este precepto instaura lo que se conoce como “protección de datos desde el diseño y por defecto “, lo que ha supuesto una ampliación del ámbito de la protección de datos tanto al momento en el que se concibe el diseño del tratamiento -o de servicios y productos que pudieran implicar tratamiento de datos- , como incluso a aquellas situaciones en la que el tratamiento se está desarrollando.

Como señala el considerando 78, la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento.

Pues bien, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto conforme dispone el artículo 25, RGPD, que expresamente señala:

- El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento - y teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas- , las medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del Reglamento y proteger los derechos de los interesados.

- Asimismo, el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

En sintonía con el espíritu tuitivo y preventivo del Reglamento que se materializa en -entre otras medidas- la llamada responsabilidad proactiva , el considerando 78 señala que debe alentarse a los productores de los productos, servicios y aplicaciones a que - al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función-, tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos.

Por último, debemos recordar que el Reglamento determina que, los responsables y encargados deberán establecer las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados. Por ello, el esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD pudiera no seguir válido de forma automática tras la entrada en vigor del RGPD. En consecuencia, los responsables únicamente podrán seguir aplicando las medidas establecidas anteriormente si los resultados del análisis de riesgos previo permiten concluir que las medidas son realmente las más adecuadas para ofrecer un nivel de seguridad adecuado.

No hay versiones para este comentario

Responsable del tratamiento
Responsabilidad del responsable del tratamiento
Protección de datos
Tratamiento de datos personales
Persona física
Datos personales
Código de conducta
Principio de responsabilidad
Mecanismo de certificación
Estado de la técnica
Política interna
Anonimización de datos
Minimización de datos
Encargado del tratamiento
Medidas de seguridad
Análisis de riesgo

Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE

Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo

Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Sistema de proactividad en el cumplimiento normativo del RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reg...

  • Principio de licitud en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Como se deduce de la literalidad del articulo reproducido, el denominado “principio de licitud” se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de an...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Objeto y ámbito de aplicación del RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento general de protección de datos -en adelante RGPD- ,  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros.NOVEDADES: Real D...

  • Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados