Responsabilidad proactiva en el tratamiento de datos

Para realizar un tratamiento de datos adecuado cualquier responsable del tratamiento debe tomar una serie de medidas de responsabilidad activa. Ya no sirve aquello de “yo lo hice y ya después me olvidé del tema”.

El nuevo reglamento europeo, nos indica claramente que hay unos principios que son inherentes al tratamiento de los datos, los cuales son la licitud, lealtad y transparencia, la limitación de la finalidad, la minimización de los datos, la exactitud, la limitación del plazo de conservación y la integridad y confidencialidad. Todos estos principios quedan englobados dentro de una única y gran obligación de responsabilidad proactiva. La madre de todos los principios.

Esto quiere decir que cada persona que recabe datos personales será responsable de cumplir con todos esos principios del tratamiento y ser capaz de demostrarlo, por lo que deberá comprobar activamente no sólo que el procedimiento para recabar los datos personales es el adecuado, sino que también deberá tener constancia de que se han analizado los posibles riesgos que conlleva el tratamiento y se ha determinado la seguridad necesaria que se deberá implantar para el correcto tratamiento de cada uno de esos datos.

Registro de actividades de tratamiento

Uno de los cambios que introdujo el RGPD fue la eliminación de los ficheros de datos, pasando esta obligación a ser la de elaborar un registro de cada actividad de tratamiento en la que se señalan los datos recogidos para esa actividad concreta así como la finalidad determinada del tratamiento de esos datos.

Por ello, la primera de las medidas exigidas como parte de la responsabilidad proactiva de aquellos que tratan datos personales es el registro de actividades de tratamiento el cual contendrá la información necesaria según lo dispuesto en el artículo 30 del RGPD.

Análisis de riesgo

Otra de las principales de estas medidas de responsabilidad proactiva sería el análisis de riesgos. Este análisis implica la realización de un estudio de las posibles amenazas o riesgos que puedan tener los datos, en contraposición con la vulneración de sus derechos que sufriría el ciudadano si se llegan a producir dichas amenazas o riesgos.

No todo el tratamiento de datos tiene los mismos riesgos y, por tanto, no siempre se tendrán que establecer las mismas medidas de seguridad. Ahí radica la importancia de realizar este análisis correctamente para poder determinar de manera efectiva las amenazas y riesgos y establecer un protocolo de medidas para paliar los efectos de los mismos.

Medidas de seguridad

Una vez analizados los riesgos, se deberá afrontar la gestión eficaz de los mismos mediante la adopción de las medidas de protección suficientes para eliminarlos o mitigarlos y que no se produzca ninguna de esas amenazas que se han determinado como probables.

En este sentido, se podrá implementar dentro de la organización un protocolo de copias de seguridad, cifrado de datos, formación necesaria de los empleados para el tratamiento seguro de los datos, entre otras medidas.

Protección de datos desde el diseño y por defecto

Como parte de este interés de manifestar la responsabilidad proactiva por aquellos que tratan datos personales, se determina la necesidad de realizar una “protección de datos desde el diseño y por defecto”.

Esto, que bien puede sonar a chino si lo oyes por primera vez, no quiere decir otra cosa que se debe diseñar cómo se van a tratar los datos a la hora de realizar una actividad o prestar un servicio, con carácter previo a la realización de dicha actividad o a la prestación de dicho servicio, de modo que, una vez realizado este diseño de los protocolos para el tratamiento de los datos, se produzca, por defecto, una garantía de protección suficiente de los datos personales recogidos para esa actividad.

Evaluación de impacto relativa a la protección de datos

La evaluación de impacto es, en esencia, el mismo análisis de riesgos que ya hemos mencionado, pero con algunas particularidades pues se realizará cuando sea probable que un tipo de tratamiento (sobre todo si utiliza nuevas tecnologías) por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Esta evaluación de impacto se realizará con carácter previo al tratamiento y podrá englobar varios tratamientos parecidos que entrañen riesgos similares.

Por último, cuando de dicha evaluación se desprenda que el tratamiento podría entrañar un alto riesgo si el responsable no toma las medidas necesarias para mitigarlo, se deberá consultar a la autoridad de control antes de proceder a realizar dicho tratamiento para que esta considere si es viable o no.

Notificación de las violaciones de seguridad

Cuando un responsable del tratamiento sufra una violación de seguridad, que ocasione la destrucción, pérdida o alteración de datos personales o la comunicación o acceso no autorizado a los datos, ésta deberá ser notificada a la Agencia Española de Protección de Datos dentro de un plazo máximo de 72 horas.

Además, cuando la violación de seguridad pueda entrañar un alto riesgo para los derechos o libertades de los interesados se les deberá informar también a ellos de que se ha producido dicha violación de seguridad.

Delegado de protección de datos

Por último, una de las figuras protagonistas desde la entrada en vigor del RGPD, ha sido la del delegado de protección de datos, el cual actuará cuando se realicen determinados tratamientos de datos. El nombramiento de esta figura podrá ser voluntario, aunque existen ciertas organizaciones y empresas que, por el tratamiento que realizan, están obligados a tener un delegado de protección de datos.

El artículo 34 de la LOPDGDD hace una lista bastante exhaustiva que podéis consultar con los tipos de tratamientos que implican la necesidad de nombrar un delegado de protección de datos.