Es importante que las empresas se adecuen al Reglamento General de Protección de Datos (RGPD) para cuidar los datos de sus clientes y el tratamiento que hace de ellos. Para ello, el responsable del tratamiento de datos personales de una organización o empresa tiene una serie de obligaciones.

El responsable de tratamiento de datos personales es quien debe aplicar las medidas técnicas y organizativas apropiadas en todo momento para garantizar y poder demostrar, a requerimiento de la agencia, que se cumple con la ley. Todo ello deberá hacerlo teniendo en cuenta la naturaleza, el ámbito, el contexto, y los fines del tratamiento, así como los riesgos que puede conllevar.

Entre las obligaciones principales están:

1. Registro de actividades de tratamiento:

Registro que debemos tener y mantener al día, y la deberemos facilitar a solicitud de la Autoridad de Control. La información mínima que debe contener es:

  • El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.
  • Los fines del tratamiento.
  • Una descripción de las categorías de interesados y de las categorías de datos personales.
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
  • En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida su identificación y, en casos concretos, la documentación de garantías adecuadas.
  • Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
  • Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

2. Evaluación del riesgo:

Será necesario identificar el riesgo, así como de donde proviene, evaluarlo y aplicar las medidas necesarias a fin de evitar consecuencias negativas para el tratamiento de datos. Estas medidas además de estar aplicadas, se debe demostrar que funcionan. Si fuera necesario la realización de evaluación de impacto, el artículo 35.4 RGPD nos da una lista orientativa de los tratamientos que la necesitan y aplicación de medidas de seguridad en el tratamiento de datos.

3. Notificación de las brechas de seguridad

Se deberán notificar las brechas de seguridad a la Autoridad de Control antes de las 72h desde que se tiene constancia de la brecha siempre que supongan o puedan suponer un riesgo para los derechos y libertades de las personas. Si fuera necesario también deberán comunicarlas a los interesados.

También habrá responsables que deberán realizar un inventario de actividades de tratamiento, la designación de un delegado de protección de datos, etc.

Protección de datos por diseño y por defecto

Uno de los pilares de la protección de datos es que debe estar pensada desde el diseño y por defecto. ¿Qué significa esto?

La protección de datos desde el diseño está basada en que debemos ser responsables proactivos, no reactivos, y las medidas aplicadas deben ser preventivas y no correctivas. La idea principal es que la privacidad este incorporada desde el inicio, en la fase de diseño y durante toda la vida del dato personal. Además, tiene que haber transparencia.

La protección de datos por defecto se basa en aplicar medidas técnicas y organizativas para garantizar por defecto que los datos personales solo sean tratados para el fin obtenido.

Deja una respuesta