Como ya analizamos de forma detallada en un anterior artículo de nuestro blog, esencia del RGPD es el principio de responsabilidad proactiva del responsable del tratamiento, pues además de estar obligado a cumplir con todas las medidas que se recogen a lo largo del texto, debe ser capaz de demostrar dicho cumplimiento.
Hasta ahora, podemos entender que la exigencia es no infringir la normativa, pero el Reglamento va un paso más allá, ya que no considera suficiente el hecho de no incumplir sino que su línea de cumplimiento sienta las bases en prevenir los incumplimientos.
La responsabilidad por parte del responsable del tratamiento viene determinada en el art. 24 del RGPD donde indica que está obligado a aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar la conformidad de las actividades de tratamiento con el Reglamento, incluida la eficacia de las medidas.
Esto es (tal y como ha manifestado la AEPD), el Reglamento entiende que actuar sólo cuando ya se ha producido una infracción no es suficiente como estrategia, toda vez que esa infracción puede causar daños a los interesados en ocasiones muy difíciles de compensar o reparar.
Por ello, será la adopción de políticas internas y aplicación de medidas que cumplan los principios de protección de datos desde el diseño y por defecto las que sirvan para demostrar y garantizar el cumplimiento. El Reglamento nos ayuda y dispone a lo largo de su texto una serie de medidas, de las que hablaremos y analizaremos detalladamente, como son:
– Protección de datos desde el diseño y por defecto.
– Medidas de seguridad.
– Registro de actividades de tratamiento.
– Realización de evaluaciones de impacto sobre la protección de datos.
– Nombramiento de un delegado de protección de datos.
– Notificación de violaciones de la seguridad de los datos.
– Promoción de códigos de conducta y esquemas de certificación.
Algunas de estas medidas no son desconocidas para nosotros, pues ya están siendo aplicadas en muchos de los Estados miembros de la UE. La novedad del Reglamento radica en establecerlas, además de con el carácter obligatorio, de forma preventiva e integrarlas de forma conjunta como un sistema global de protección.
Sin embargo debemos destacar que estas medidas no serán estándar para todos los responsables de tratamiento sino que deberán aplicarse en función del riesgo que, en cada caso, el tratamiento implique para los derechos y libertades de los interesados.
Acudiendo al considerando 76 nos explica que la ponderación del riesgo debe realizarse sobre la base de una evaluación objetiva para determinar si las operaciones de tratamiento de datos suponen un riesgo, o si el riesgo es alto, tomando como referencia la naturaleza, alcance, contexto y fines del tratamiento.
En consecuencia, existe la necesidad de ponderar cuál es el riesgo que entraña el tratamiento de datos como condición previa, para poder determinar cuáles son las medidas a aplicar, lo que supone un esfuerzo adicional que debemos empezar a realizar a pesar de que su exigencia real sea en 2018.
Por último, el artículo 24.3 nos dice que la adhesión a un código de conducta o certificación puede proporcionar una guía para determinar qué medidas pueden ser suficientes para afrontar el riesgo en cuestión en cada caso.
