En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Además, el RGPD adopta un enfoque proactivo, exigiendo que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.
Como ejemplos de medidas en las que se materializa este principio de responsabilidad proactiva en el RGPD se señalan las siguientes:
- Delegado de protección de datos
- Registro de actividades de tratamiento.
- Medidas de protección de datos desde el diseño y por defecto
- Análisis de riesgos y adopción de medidas de seguridad
- Notificación de quiebras de seguridad
- Evaluaciones de impacto sobre la protección de datos
- La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos
Estas medidas se completan con los derechos de los afectados respecto al tratamiento de sus datos personales, la relación entre el responsable y el encargado de tratamiento, así como la legitimación para el tratamiento de los datos personales.
Para más información puede consultar:
Guías:
- Guía del RGPD para responsables de tratamiento
- Guía para el cumplimiento del deber de informar
- Directrices para la elaboración de contratos entre responsables y encargados
- Orientaciones y garantías en los procedimientos de anonimización de datos personales
- Guía práctica de análisis de riesgos
- Guía práctica para evaluaciones de impacto
- Guía sobre brechas de seguridad
Directrices sobre la aplicación del RGPD:
- Directrices los delegados de protección de datos
- Directrices sobre el derecho a la portabilidad de datos
- Directrices sobre criterios de identificación de la “autoridad líder”
- Directrices sobre Evaluación de Evaluación de Impacto (EIPD) y para determinar que el tratamiento suponga un alto riesgo
- Directrices sobre notificación de las brechas de seguridad de los datos personales (Documento pendiente de consulta pública)
- Directrices sobre decisiones individuales automatizadas y perfilado a efectos del RGPD