Sistema de proactividad en el cumplimiento normativo del Reglamento General Protección de Datos

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 18/06/2018

La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento.  Pues bien, esta obligación de implementar diversas medidas destinadas a dar efectivo cumplimiento a las disposiciones establecidas por el RGPD ha supuesto la introducción del denominado el principio de responsabilidad proactiva o “accountability”.

Atendiendo al Dictamen 3/2010 sobre el principio de responsabilidad del Grupo de Trabajo de Protección de Datos del artículo 29 , el citado principio se conceptúa como una herramienta para progresar “de la teoría a la práctica”, por cuanto resulta preciso que los requisitos jurídicos se traduzcan en medidas concretas de protección de datos.

El denominado “principio de responsabilidad” no es algo nuevo, ya en el año 1980 fue objeto de expreso reconocimiento en las directrices sobre privacidad adoptadas por la Organización de Cooperación y Desarrollo Económicos (OCDE). Igualmente, encontramos referencias al citado principio en las Normas Internacionales de Madrid, desarrolladas por la Conferencia Internacional de Comisarios de Protección de Datos y Privacidad, e incluso en la norma ISO 29100, que establece un marco de privacidad, y es uno de los conceptos principales del marco de privacidad de la CEAP y de sus normas de privacidad transfronteriza

 

Centrándonos en el ámbito del RGPD, el principio de responsabilidad proactiva supone que el responsable del tratamiento debe garantizar la eficacia de las medidas adoptadas y demostrar, si así se le requiere, que ha adoptado dichas acciones. Es decir, asumiendo el contenido del citado Dictamen 3/2010, este principio gira en torno a dos elementos esenciales:

  1. la necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos;
  2. la necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces; así pues, el responsable del tratamiento de datos deberá aportar pruebas de (i).

 

Así, podemos afirmar que la normativa vigente respecto de la anterior supone un cambio de enfoque, instituyendo un avance de lo que podríamos denominar un planteamiento “reactivo”  a  un escenario normativo “proactivo” o “preventivo”.

Resultará necesario por tanto determinar los tipos de medidas aplicables en función de los hechos y circunstancias de cada caso particular, con atención especial al riesgo del tratamiento y a los tipos de datos.  En consecuencia, las medidas que deberán adoptar los responsables, lejos de ser homogéneas o estándar, deberán ser particularizadas, ya que de lo contrario –como se señala en el Dictamen 3/2010- “un enfoque de «talla única» tan solo forzaría a los responsables del tratamiento a embutirse en estructuras mal adaptadas y acabaría fracasando”.

Este nuevo escenario normativo “proactivo” determina que los responsables del tratamiento de datos deben ser capaces de adecuar las medidas tanto a la realidad específica del responsable del tratamiento como a las operaciones de tratamiento de datos de que se trate.

 En este contexto, el Grupo de Trabajo del artículo 29 ya indicó en el Dictamen 3/2010 que los criterios empleados en el artículo 17 de la Directiva derogada para determinar el tipo de medidas de seguridad resulta aplicables, por lo que para el establecimiento de las medidas adecuadas resultará oportuno atender por un lado, a los riesgos que representan el tratamiento de datos y por otro, a la naturaleza de los datos.

En todo caso, con independencia de las concretas medidas que el responsable decida implementar, será necesario que este pueda demostrar la conformidad de las mismas con el Reglamento. Por ello, el responsable del tratamiento deberá adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.

No hay versiones para este comentario

Principio de responsabilidad
Protección de datos
Responsable del tratamiento
Tratamiento de datos personales
Persona física
Actividades de tratamiento de datos
Medidas de seguridad
Política interna
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Responsabilidad del responsable del tratamiento de datos en el RGPD.

    Orden: Administrativo Fecha última revisión: 19/06/2018

    La responsabilidad del responsable del tratamiento se especifica en el art. 42, ;RGPD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se ponen de manifiesto a lo largo del texto normativo. Sin perjuicio de...

  • Objeto y ámbito de aplicación del RGPD

    Orden: Administrativo Fecha última revisión: 30/07/2018

    A partir del 25 de mayo de 2018, con el comienzo con la aplicación del Reglamento general de protección de datos -en adelante RGPD- ,  se instaura un conjunto único de normas directamente aplicables en todos los Estados miembros.NOVEDADES: Real D...

  • Principio de licitud en el RGPD

    Orden: Administrativo Fecha última revisión: 19/06/2018

    Como se deduce de la literalidad del articulo reproducido, el denominado “principio de licitud” se encuentra referenciado junto con los principios de transparencia y lealtad. Ahora bien, esta reseña unificada no impide que pueda ser objeto de an...

  • Reglamento General de Protección de Datos (RGPD)

    Orden: Administrativo Fecha última revisión: 30/07/2018

    El nuevo Reglamento General de Protección de Datos de la Unión Europea, conocido como «Reglamento General de Protección de Datos» (RGPD), entró en vigor el 25 de mayo de 2016, a pesar de que su aplicación plena ha comenzado el 25 de mayo d...

  • Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD

    Orden: Administrativo Fecha última revisión: 18/06/2018

    Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados