Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del Reglamento General Protección de Datos (RGPD) y de la LO 3/2018 (LOPDGDD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 07/02/2019

La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento. Pues bien, esta obligación de implementar diversas medidas destinadas a dar efectivo cumplimiento a las disposiciones establecidas por el RGPD ha supuesto la introducción del denominado el "principio de responsabilidad proactiva" o "accountability".

Atendiendo al Dictamen 3/2010 sobre el principio de responsabilidad del Grupo de Trabajo de Protección de Datos del artículo 29 , el citado principio se conceptúa como una herramienta para progresar “de la teoría a la práctica”, por cuanto resulta preciso que los requisitos jurídicos se traduzcan en medidas concretas de protección de datos.

El denominado “principio de responsabilidad” no es algo nuevo, ya en el año 1980 fue objeto de expreso reconocimiento en las directrices sobre privacidad adoptadas por la Organización de Cooperación y Desarrollo Económicos (OCDE). Igualmente, encontramos referencias al citado principio en las Normas Internacionales de Madrid, desarrolladas por la Conferencia Internacional de Comisarios de Protección de Datos y Privacidad, e incluso en la norma ISO 29100, que establece un marco de privacidad, y es uno de los conceptos principales del marco de privacidad de la CEAP y de sus normas de privacidad transfronteriza

 

Centrándonos en el ámbito del RGPD, el principio de responsabilidad proactiva supone que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar debe garantizar y demostrar, si así se le requiere, que ha adoptado dichas acciones y que el tratamiento es conforme a la norma. Es decir, asumiendo el contenido del citado Dictamen 3/2010, este principio gira en torno a dos elementos esenciales:

  1. la necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos;
  2. la necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces; así pues, el responsable del tratamiento de datos deberá aportar pruebas.

 

Así, podemos afirmar que la normativa vigente, respecto de la anterior, supone un cambio de enfoque, instituyendo un avance de lo que podríamos denominar un planteamiento “reactivo”  a  un escenario normativo “proactivo” o “preventivo”.

Resultará necesario por tanto determinar los tipos de medidas aplicables en función de los hechos y circunstancias de cada caso particular, con atención especial al riesgo del tratamiento y a los tipos de datos.  En consecuencia, las medidas que deberán adoptar los responsables, lejos de ser homogéneas o estándar, deberán ser particularizadas, ya que de lo contrario –como se señala en el Dictamen 3/2010- “un enfoque de «talla única» tan solo forzaría a los responsables del tratamiento a embutirse en estructuras mal adaptadas y acabaría fracasando”.

Este nuevo escenario normativo “proactivo” determina que los responsables del tratamiento de datos deben ser capaces de adecuar las medidas tanto a la realidad específica del responsable del tratamiento como a las operaciones de tratamiento de datos de que se trate.

 En este contexto, el Grupo de Trabajo del artículo 29 ya indicó en el Dictamen 3/2010 que los criterios empleados en el artículo 17 de la Directiva derogada para determinar el tipo de medidas de seguridad resulta aplicables, por lo que para el establecimiento de las medidas adecuadas resultará oportuno atender por un lado, a los riesgos que representan el tratamiento de datos y por otro, a la naturaleza de los datos.

El Grupo de Trabajo del artículo 29 considera que las medidas comunes de responsabilidad pueden incluir las que figuran en la siguiente lista ilustrativa, no exhaustiva:
establecimiento de procedimientos internos previos a la creación de nuevas operaciones de tratamiento de datos personales (revisión interna, evaluación, etc.);
• establecimiento de políticas escritas y vinculantes de protección de datos que se tengan en cuenta y se valoren en nuevas operaciones de tratamiento de datos (p.ej., cumplimiento de los criterios de calidad de datos, notificación, principios de seguridad, acceso, etc.) que deben ponerse a disposición de las personas interesadas;
• cartografía de procedimientos que garanticen la identificación correcta de todas las operaciones de tratamiento de datos y el mantenimiento de un inventario de operaciones de tratamiento de datos;
• nombramiento de un funcionario de protección de datos y otras personas responsables de la protección de datos;
• oferta adecuada de protección de datos y formación a los miembros del personal; esto debe incluir a los procesadores (o responsables del proceso) de datos personales (como los directores de recursos humanos) pero también a los administradores de tecnologías de la información, conceptores y directores de unidades comerciales; deben asignarse recursos suficientes para la gestión de la privacidad, etc...;
• establecimiento de procedimientos de gestión del acceso y de las demandas de corrección y eliminación de datos con transparencia para las personas interesadas;
• establecimiento de un mecanismo interno de tratamiento de quejas;
• establecimiento de procedimientos internos de gestión y notificación eficaces de fallos de seguridad;
• realización de evaluaciones de impacto sobre la privacidad en circunstancias específicas;
• aplicación y supervisión de procedimientos de verificación que garanticen que las medidas no sean solo nominales sino que se apliquen y funcionen en la práctica (auditorías inte rnas o externas, etc.).

Por su parte la AEPD indica como ejemplos de medidas en las que se materializa este principio, las siguientes:

  • Delegado de protección de datos
  • Registro de actividades de tratamiento. 
  • Medidas de protección de datos desde el diseño y por defecto
  • Análisis de riesgos y adopción de medidas de seguridad
  • Notificación de quiebras de seguridad
  • Evaluaciones de impacto sobre la protección de datos
  • La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos

En todo caso, con independencia de las concretas medidas que el responsable decida implementar, será necesario que este pueda demostrar la conformidad de las mismas con el Reglamento. Por ello, el responsable del tratamiento deberá adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto.

En todo caso, la LOPDGDD indica que el hecho de que el legislador se refiera a la licitud de determinados tratamientos concretos, no enerva la obligación de los responsables de adoptar todas las medidas de responsabilidad activa establecidas en el Capítulo IV del Reglamento europeo y en el Título V de dicha ley orgánica, en donde se regulan las medidas generales de responsabilidad activa (Título V - Capítulo I) manteniendo la misma denominación del Capítulo IV del RGPD. Dentro de dichas medidas se regulan las obligaciones generales del responsable y encargado del tratamiento, los supuestos de corresponsabilidad, los representantes de responsables o encargados no establecidos en la UE, el Registro de Actividades y el bloqueo de los datos. (Véanse los temas correspondientes).

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

No hay versiones para este comentario

Protección de datos
Tratamiento de datos personales
Responsable del tratamiento
Principio de responsabilidad
Actividades de tratamiento de datos
Persona física
Medidas de seguridad
Datos personales
Inventarios
Supresión de datos personales
Código de conducta
Mecanismo de certificación
Quiebra
Encargado del tratamiento
Política interna
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Funciones y potestades de la Agencia Española de Protección de Datos (AEPD)

    Orden: Administrativo Fecha última revisión: 12/02/2019

    Tal y como indica el artículo 47 de la LOPDGDD, "corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del RGPD y, en particular, ejercer las funciones establecidas en el artículo 57 y las pote...

  • Encargado del tratamiento de datos de carácter personal en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El encargado del tratamiento es definido en el apartado 8 del artículo 4 del RGPD como "la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento".Así, las fu...

  • Tratamiento de datos con fines de videovigilancia

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados