Por Mónica Pérez
El principio de responsabilidad proactiva que recoge el RGPD y la nueva Ley de Protección de Datos implica la exigencia de una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Así, el responsable del tratamiento debe aplicar medidas técnicas y organizativas con el fin de garantizar y poder demostrar que el tratamiento es conforme con la norma. .
Ello requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
Además, el RGPD adopta un enfoque proactivo, exigiendo que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.
Como ejemplos de medidas en las que se materializa este principio de responsabilidad proactiva en el RGPD se señalan las siguientes:
Registro de actividades de tratamiento (RAT)
Medidas de protección de datos desde el diseño y por defecto
Análisis de riesgos y adopción de medidas de seguridad
Notificación de quiebras de seguridad
Evaluaciones de impacto sobre la protección de datos, en el caso de determinadas organizaciones
La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos
Delegado de Protección de Datos
Estas medidas se completan con los derechos que tienen los afectados respecto al tratamiento de sus datos personales, la relación entre el responsable y el encargado de tratamiento, así como la legitimación para el tratamiento de los datos personales.