Responsabilidad proactiva, qué es y como lo aplico.
La responsabilidad proactiva, en resumen, es el principio de una actitud consciente, diligente y proactiva por parte de los responsables frente a todos los tratamientos de datos personales que realicen en sus organizaciones.
El responsable del tratamiento, deberá de aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que los tratamientos se adecuan a la norma, según marca el RGPD.
La puesta en marcha de la responsabilidad activa, requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, una vez tengan estos datos, deberán determinar de forma explícita la manera en que aplicarán las medidas que el RGPD contempla, siendo las medidas más adecuadas para cumplir con el mismo y debe quedar constancia de que pueden demostrarlo ante los interesados y ante las autoridades.
Además, el RGPD exige que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar.
Las medidas que marca el RGPD, para cumplir este principio de responsabilidad proactiva en el RGPD son las siguientes:
- Delegado de protección de datos
- Registro de actividades de tratamiento.
- Medidas de protección de datos desde el diseño y por defecto
- Análisis de riesgos y adopción de medidas de seguridad
- Notificación de quiebras de seguridad
- Evaluaciones de impacto sobre la protección de datos
- La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos
Para completar este principio de responsabilidad proactiva, debemos tener en cuenta los derechos de los afectados respecto al tratamiento de sus datos personales, la relación entre el responsable y el encargado de tratamiento, así como la legitimación para el tratamiento de los datos personales.