El Reglamento General de Protección de Datos (RGPD) introduce el principio de responsabilidad proactiva o accountability. Este principio, incide de forma directa en determinadas obligaciones a las que están sometidos los Responsables del Tratamiento de datos personales, para demonstrar que el tratamiento de los datos que realizan, se ajusta a la normativa.
¿Qué es el principio de Responsabilidad Proactiva?
La responsabilidad proactiva implica que los responsables del tratamiento de datos apliquen las medidas técnicas y organizativas adecuadas, no solo para cumplir con la normativa, sino para demostrar su cumplimiento antes las autoridades de control e interesados.
Cómo afecta el principio de Responsabilidad Proactiva a las empresas
Cada entidad determinará internamente cuales son los mecanismos más óptimos y diligentes para proteger los derechos y libertades de los interesados. Todo ello, como medida para anticipar una eventual infracción o lesión de los derechos de terceros. De este modo, tal y como pone de manifiesto la Agencia Española de Protección de Datos (AEPD), el no incumplimiento en este sentido ya no será sufriente.
A su vez, el principio de responsabilidad proactiva pone de manifiesto la necesidad de dar visibilidad a las buenas prácticas en materia de protección de datos, lo cual se manifiesta en el artículo 42 del RGPD:
“Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados.”
Medidas del principio de Responsabilidad Proactiva
El RGPD también hace hincapié en las siguientes medidas para garantizar la responsabilidad proactiva:
- Registro de actividades: se establecen nuevas obligaciones de documentación del tratamiento para los Responsables o los Encargados que deben llevar a cabo un registro de todas las actividades de tratamiento de datos que realice la entidad.
- Tratamiento de datos esenciales: el Responsable aplicará las medidas apropiadas para garantizar que, por defecto, solo se traten los datos personales necesarios para cada finalidad específica del tratamiento.
- Análisis de riesgos: se analizan los eventuales riesgos internos a nivel de protección de datos y se concluye respecto a la necesidad de realizar o no una Evaluación de Impacto y nombrar un DPO, entre otras.
- Medidas de seguridad: a diferencia de la normativa anterior, el RGPD no propone las medidas de seguridad a aplicar, sino que establece que es la empresa quien decide qué medidas técnicas y organizativas son las apropiadas según el riesgo que conlleva el tratamiento.
- Evaluaciones de Impacto: el Responsable debe realizar una Evaluación del Impacto en los casos tasados en la normativa. Por ejemplo: cuando sea probable que un tratamiento, por su naturaleza, contexto, alcance o finalidades, suponga un alto riesgo para los derechos y libertades de las personas físicas.
- Autorización previa o consultas previas: si después de hacer dicha Evaluación de Impacto se detecta que el tratamiento previsto podría infringir el Reglamento, el responsable debe hacer una consulta a la autoridad de control. Esta, dará las indicaciones necesarias sobre la manera correcta de proceder o, si se da el caso, puede llegar a prohibir su tratamiento.
- DPO, delegado de protección de datos: es el encargado de informar y asesorar tanto al Responsable o al Encargado del tratamiento de datos, como a los trabajadores de las empresas, sobre las obligaciones que impone la normativa. En resumen, el DPO se encarga de supervisar que se cumpla la normativa, asesorar sobre las medidas técnicas y organizativas a aplicar, así como cooperar con la autoridad de control, entre otras tareas.
- Notificación de violación de seguridad: en el caso de que se produzca una brecha de seguridad, el Responsable tiene un plazo de 72 horas como máximo para notificarlo a la autoridad de control.
En España, la adaptación del derecho español a la nueva normativa europea, y por tanto, al principio de responsabilidad proactiva, se realiza mediante la Ley de Protección de Datos Personales y garantía de los derechos digitales o LOPD (Ley Orgánica 3/2018, de 5 de diciembre)
Delvy y la responsabilidad proactiva
En Delvy somos abogados especializados en empresas y startups. Si deseas más información sobre la responsabilidad proactiva o tienes dudas sobre la reglamentación RGPD en tu negocio, puedes contactarnos a través de nuestro formulario de contacto, a través de nuestro email o bien, llamarnos al (+34) 93 518 53 85.