Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del Reglamento General Protección de Datos (RGPD) y de la LO 3/2018 (LOPDGDD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 07/02/2019
La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento. Pues bien, esta obligación de implementar diversas medidas destinadas a dar efectivo cumplimiento a las disposiciones establecidas por el RGPD ha supuesto la introducción del denominado el "principio de responsabilidad proactiva" o "accountability".
Atendiendo al Dictamen 3/2010 sobre el principio de responsabilidad del Grupo de Trabajo de Protección de Datos del artículo 29 , el citado principio se conceptúa como una herramienta para progresar “de la teoría a la práctica”, por cuanto resulta preciso que los requisitos jurídicos se traduzcan en medidas concretas de protección de datos.
El denominado “principio de responsabilidad” no es algo nuevo, ya en el año 1980 fue objeto de expreso reconocimiento en las directrices sobre privacidad adoptadas por la Organización de Cooperación y Desarrollo Económicos (OCDE). Igualmente, encontramos referencias al citado principio en las Normas Internacionales de Madrid, desarrolladas por la Conferencia Internacional de Comisarios de Protección de Datos y Privacidad, e incluso en la norma ISO 29100, que establece un marco de privacidad, y es uno de los conceptos principales del marco de privacidad de la CEAP y de sus normas de privacidad transfronteriza
Centrándonos en el ámbito del RGPD, el principio de responsabilidad proactiva supone que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar debe garantizar y demostrar, si así se le requiere, que ha adoptado dichas acciones y que el tratamiento es conforme a la norma. Es decir, asumiendo el contenido del citado Dictamen 3/2010, este principio gira en torno a dos elementos esenciales:
- la necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos;
- la necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces; así pues, el responsable del tratamiento de datos deberá aportar pruebas.
Así, podemos afirmar que la normativa vigente, respecto de la anterior, supone un cambio de enfoque, instituyendo un avance de lo que podríamos denominar un planteamiento “reactivo” a un escenario normativo “proactivo” o “preventivo”.
Resultará necesario por tanto determinar los tipos de medidas aplicables en función de los hechos y circunstancias de cada caso particular, con atención especial al riesgo del tratamiento y a los tipos de datos. En consecuencia, las medidas que deberán adoptar los responsables, lejos de ser homogéneas o estándar, deberán ser particularizadas, ya que de lo contrario –como se señala en el Dictamen 3/2010- “un enfoque de «talla única» tan solo forzaría a los responsables del tratamiento a embutirse en estructuras mal adaptadas y acabaría fracasando”.
Este nuevo escenario normativo “proactivo” determina que los responsables del tratamiento de datos deben ser capaces de adecuar las medidas tanto a la realidad específica del responsable del tratamiento como a las operaciones de tratamiento de datos de que se trate.
En este contexto, el Grupo de Trabajo del artículo 29 ya indicó en el Dictamen 3/2010 que los criterios empleados en el artículo 17 de la Directiva derogada para determinar el tipo de medidas de seguridad resulta aplicables, por lo que para el establecimiento de las medidas adecuadas resultará oportuno atender por un lado, a los riesgos que representan el tratamiento de datos y por otro, a la naturaleza de los datos.
Por su parte la AEPD indica como ejemplos de medidas en las que se materializa este principio, las siguientes:
- Delegado de protección de datos
- Registro de actividades de tratamiento.
- Medidas de protección de datos desde el diseño y por defecto
- Análisis de riesgos y adopción de medidas de seguridad
- Notificación de quiebras de seguridad
- Evaluaciones de impacto sobre la protección de datos
- La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos
En todo caso, con independencia de las concretas medidas que el responsable decida implementar, será necesario que este pueda demostrar la conformidad de las mismas con el Reglamento. Por ello, el responsable del tratamiento deberá adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.
En todo caso, la LOPDGDD indica que el hecho de que el legislador se refiera a la licitud de determinados tratamientos concretos, no enerva la obligación de los responsables de adoptar todas las medidas de responsabilidad activa establecidas en el Capítulo IV del Reglamento europeo y en el Título V de dicha ley orgánica, en donde se regulan las medidas generales de responsabilidad activa (Título V - Capítulo I) manteniendo la misma denominación del Capítulo IV del RGPD. Dentro de dichas medidas se regulan las obligaciones generales del responsable y encargado del tratamiento, los supuestos de corresponsabilidad, los representantes de responsables o encargados no establecidos en la UE, el Registro de Actividades y el bloqueo de los datos. (Véanse los temas correspondientes).
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Objeto y ámbito de aplicación
- Sistema de proactividad ESTOY AQUÍ
- Deber de Información a los afectados
- Glosario de definiciones
- Principios generales relativos al tratamiento
- Bases jurídicas de legitimación de los tratamientos
- Categorías de datos
- Derechos de los interesados y limitaciones
- Responsable del tratamiento
- Encargado del tratamiento
- Registro de Actividades de Tratamiento. Identificación y estructura
- Análisis de riesgos
- Evaluación del impacto
- Delegado de protección de datos
- Medidas de Seguridad
- Violación de seguridad (quiebra de seguridad)
- Transferencias internacionales, BCR y Códigos de conducta
- Tratamiento concretos
- Autoridades de Protección de Datos
- Procedimientos en caso de vulneración de la normativa
- Régimen sancionador
- Garantía de los derechos digitales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
- Responsabilidad de la Administración Pública por negligencias médicas
Ley Orgánica 3/2018 de 5 de Dic (Protección de Datos Personales y garantía de los derechos digitales -LOPDGDD-) VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) VIGENTE
Boletín: Diario Oficial de la Unión Europea Número: 118 Fecha de Publicación: 04/05/2016 Fecha de entrada en vigor: 24/05/2016 Órgano Emisor: Parlamento Europeo Y Consejo
-
Sentencia ADMINISTRATIVO Nº 1624/2020, TS, Sala de lo Contencioso, Sec. 3, Rec 6531/2019, 27-11-2020
Orden: Administrativo Fecha: 27/11/2020 Tribunal: Tribunal Supremo Ponente: Bandres Sanchez-cruzat, Jose Manuel Num. Sentencia: 1624/2020 Num. Recurso: 6531/2019
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional Nº C-210/16, TJUE, 05-06-2018
Orden: Supranacional Fecha: 05/06/2018 Tribunal: Tribunal De Justicia De La Union Europea Ponente: Tizzano Num. Sentencia: C-210/16
-
Sentencia ADMINISTRATIVO Nº 121/2019, TS, Sala de lo Contencioso, Sec. 3, Rec 627/2018, 05-02-2019
Orden: Administrativo Fecha: 05/02/2019 Tribunal: Tribunal Supremo Ponente: Bandres Sanchez Cruzat, Jose Manuel Num. Sentencia: 121/2019 Num. Recurso: 627/2018
-
Sentencia Supranacional Nº C-507/17, TJUE, 24-09-2019
Orden: Supranacional Fecha: 24/09/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-507/17
-
Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.
Orden: Administrativo Fecha última revisión: 30/01/2019
La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...
-
Obligaciones en materia de protección de datos en las relaciones laborales
Orden: Laboral Fecha última revisión: 03/02/2020
Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...
-
Infracciones en materia de protección de datos (LOPDGDD y RGPD)
Orden: Administrativo Fecha última revisión: 23/01/2019
Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74). Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...
-
Funciones y potestades de la Agencia Española de Protección de Datos (AEPD)
Orden: Administrativo Fecha última revisión: 09/12/2019
Tal y como indica el artículo 47 de la LOPDGDD, "corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del RGPD y, en particular, ejercer las funciones establecidas en el artículo 57 y las pote...
-
Encargado del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD
Orden: Administrativo Fecha última revisión: 30/01/2019
El encargado del tratamiento es definido en el apartado 8 del artículo 4 del RGPD como "la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento".Así, las fu...
-
Formulario de contrato de encargo de tratamiento entre dos abogados (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS POR CUENTA DE TERCERODe una parte, [NOMBRE] (en adelante, RESPONSABLE del tratamiento), con domicilio profesional en la calle [CALLE], con DNI [DNI], que comparece en su propio nombre y representación.Y de...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Formulario para ejercicio del derecho de supresión. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
EJERCICIO DEL DERECHO DE SUPRESIÓN DATOS DEL RESPONSABLE DEL TRATAMIENTO.Nombre / razón social: [NOMBRE_EMPRESA]Dirección de la Oficina (Servicio ante el que se ejercita el derecho de acceso): [DIRECCION]C.Postal: [CODIGO_POSTAL]Localidad: [LOCAL...
-
Modelo de contestación a solicitud de ejercicio de derecho de oposición al tratamiento (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
[NOMBRE_EMPRESA]CIF/NIF [NUMERO][DIRECCION][TELEFONO][CORREO_ELECTRONICO] ASUNTO: CONTESTACIÓN AL EJERCICIO DEL DERECHO DE OPOSICIÓNEstimado Sr./Sra.:Acusamos recibo de su solicitud de fecha [FECHA], mediante el que ejercita su derecho de oposici...
-
Contrato de encargo de tratamiento entre responsable y encargado. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
CONTRATO DE ENCARGO DE TRATAMIENTODe una parte, EL CLIENTE O RESPONSABLE DEL TRATAMIENTO, Don/Doña [NOMBRE] con D.N.I. número [NUMERO], en nombre y representación de la mercantil [NOMBRE_EMPRESA], con C.I.F. número [NUMERO] y domicilio social en ...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
Caso práctico: Cuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internet
Fecha última revisión: 21/05/2014
-
Caso práctico: Información al trabajador de la presencia de sistema de localización por GPS en el vehículo de empresa
Fecha última revisión: 13/04/2016
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 10/09/2018
-
Caso práctico: ¿A qué entidades se aplica el Reglamento General de Protección de Datos?
Fecha última revisión: 16/04/2018
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal gar...
RESUMENCuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internetANÁLISISDicha sentencia publicada el 13 de mayo de 2014, resolvió reconocer este derecho “al olvido” aplic...
PLANTEAMIENTOUna empresa que proporciona ha instalado en su flota de vehículos comerciales sistemas de geolocalización por GPS como medio de control de la utilización que el empleado realiza del vehículo, así como del cumplimiento de su jornada ...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que ,en innumerables ocasiones, los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para “conservar”...
PLANTEAMIENTOLa aplicación del Reglamento (UE) 2016/679 de 27 de Abr DOUE (Reglamento general europeo de protección de datos (GDPR/RGPD)) (25/05/2018) implicará, para aquellas empresas u organizaciones que tratan datos, la realización de un nece...
-
Resolución de ICAC, 120/diciembre 2020, 01-12-2020
Órgano: Instituto Contable Y Auditoria De Cuentas Fecha: 01/12/2020 Núm. Resolución: 120/diciembre 2020
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 01/08/2018
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 04/07/2018
-
Resolución de 11 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Madrid nº 29, por la que deniega la expedición de una certificación del historial completo de determinada finca registral.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 11/06/2018
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Direccion General De Los Registros Y Del Notariado Fecha: 28/04/2014
-
Reglamento General de Protección de Datos (RGPD)
- Autor: Editorial Colex, S.L.
- Publicación: 01/08/2018
- Desde 6.6€
-
Nuevas tecnologías y responsabilidad civil
- Autores: V.V.A.A.
- Publicación: 15/12/2020
- Desde 33.25€
-
CURSO SOBRE EL ANÁLISIS DE LA ENTRADA Y REGISTRO EN EL DOMICILIO DEL CONTRIBUYENTE
- Desde 36.24€
