El RGPD describe este Principio de Responsabilidad Proactiva,  como la necesidad de que el responsable del tratamiento aplique una serie de medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la norma. Ademas queremos hacer referencia también a la nueva LOPD  (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales en España)

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. Aprovechamos para dejarte Cinco consejos para tener una contraseña a prueba de ‘hackers’.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

Además, el RGPD adopta un enfoque proactivo, exigiendo que el responsable adopte medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, además, que esté en condiciones de demostrar que ha implantado esas medidas y que las mismas son las adecuadas para lograr la finalidad perseguida.

Estas medidas se completan con los derechos de los afectados respecto al tratamiento de sus datos personales, la relación entre el responsable y el encargado de tratamiento, así como la legitimación para el tratamiento de los datos personales.

Como ejemplos de medidas en las que se materializa este principio de responsabilidad proactiva en el RGPD se señalan las siguientes:

Delegado de protección de datos

Con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado, la AEPD ha optado por promover un Esquema de Certificación de DPD. Este Esquema es un sistema de certificación que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.

Aunque esta certificación no es obligatoria para poder ejercer como DPD y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema, la Agencia ha considerado necesario ofrecer un punto de referencia al mercado sobre los contenidos y elementos de un mecanismo de certificación que pueda servir como garantía para acreditar la cualificación y capacidad profesional de los candidatos a DPD.

Registro de actividades de tratamiento

Según el artículo 30 del RGPD, desde el momento en que los responsables de tratamiento hacen un tratamiento de datos habitual y no ocasional, están obligados a tener dichos registros, con independencia del número de trabajadores. Por ello casi la totalidad, por ser cautos, de los profesionales están obligados a ello; las empresas conservan datos de clientes, empleados,…

Por lo tanto, se trata no solo de una práctica obligada o muy recomendable, sino también de una herramienta que va a permitir al responsable o encargado del tratamiento demostrar el cumplimiento de la normativa.

El RGPD trae como novedad el principio de responsabilidad proactiva, por el cual, el responsable del tratamiento no solo deberá cumplir con la normativa, sino que deberá ser capaz de demostrarlo.

En este sentido mostramos el 82 del RGPD:

“Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento.”

Medidas de protección de datos desde el diseño y por defecto

Se anima a las empresas u organizaciones a que apliquen medidas técnicas y organizativas en las primeras fases del diseño de las operaciones del tratamiento, de forma que se garantice la intimidad y los principios de protección de datos desde el primer momento («protección de datos desde el diseño»). Por defecto, las empresas u organizaciones deberían garantizar que los datos personales se tratan con la mayor protección de la intimidad (por ejemplo, solo los datos necesarios, un plazo de conservación corto, accesibilidad limitada), de forma que por defecto los datos personales no sean accesibles a un número indefinido de personas («protección de datos por defecto»).

Análisis de riesgos y adopción de medidas de seguridad

El análisis de riesgos indicará las medidas de seguridad que la empresa debe adoptar para garantizar la confidencialidad, la disponibilidad y la integridad de la información y de los sistemas de información que utilizan para tratar los datos personales.

Cada empresa debe aplicar las medidas de seguridad que crea oportunas. Y, siempre debe ser capaz de demostrar que la información es confidencial, está disponible y que está integra.

El análisis de riesgos de datos personales, para garantizar:
  • La confidencialidad,
  • La integridad,
  • La disponibilidad,
  • La eficacia de las medidas de seguridad adoptadas
  • La licitud de los tratamientos de datos personales.

Como llevar a cabo este análisis:

En primer lugar, hay que identificar los activos. Es decir, todo aquello que interviene en la protección de datos. Por ejemplo: El servidor de la empresa, los trabajadores de la empresa, las copias de seguridad, etc.
En segundo lugar, hay que identificar que riesgos pueden atacar a los activos descritos. Por ejemplo: Respecto del servidor podríamos tener el riesgo de que lo roben, el riesgo de que entre un virus, etc. Respecto de los trabajadores podríamos tener el riesgo de que revelen información, etc.
Y, en tercer lugar, hay que ver qué medidas de seguridad hay implantadas en la empresa. Por ejemplo: Antivirus, procedimiento de copias de seguridad, etc.
Una vez que sabemos:
  • Activos
  • Riesgos
  • Medidas de seguridad implantadas
Podemos empezar a analizar la PROBABILIDAD de que se materialice el RIESGO y estableceremos un valor.
Cada empresa puede utilizar el método que quiera para realizar el análisis de riesgo.
.

Notificación de quiebras de seguridad

El objetivo de este documento desarrollado por La Agencia Española de Protección de Datos (AEPD), es ofrecer a las organizaciones tanto recomendaciones preventivas como un plan de actuación, de forma que conozcan cómo evitarlas y cómo proceder en caso de que se produzcan.

El Reglamento General de Protección de Datos (RGPD) define las quiebras de seguridad de los datos personales como aquellos incidentes que ocasionan la destrucción, pérdida o alteración accidental o ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

Desde el pasado 25 de mayo, esta obligación pasa a ser aplicable a cualquier responsable de un tratamiento de datos personales, lo que subraya la importancia de que todas las entidades conozcan cómo gestionarlas.

De acuerdo con el Reglamento, cuando el responsable del tratamiento tenga conocimiento de que se ha producido una brecha de la seguridad de los datos personales debe notificarlo sin dilación a la autoridad de control competente, y a más tardar en las 72 horas siguientes a haber tenido constancia de ella. Esta notificación a la Agencia debe realizarse a menos que sea improbable que dicha brecha de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si la brecha de seguridad entraña un alto riesgo para los derechos y libertades de las personas (como, por ejemplo, el acceso ilícito a usuarios y contraseñas de un servicio), además de la comunicación a la autoridad de control, el responsable del tratamiento debe, adicionalmente, comunicar a los afectados la brecha de seguridad con lenguaje claro y sencillo y de forma concisa y transparente.

El documento está estructurado en cinco grandes bloques: el primero está dedicado a la detección e identificación de brechas de seguridad, incluyendo detalles sobre cómo debe estar preparada la organización; el segundo incluye un apartado dedicado al plan de actuación, en el que se presentan los aspectos básicos sobre cómo proceder ante un incidente; a continuación se ofrecen detalles sobre cómo analizarlo con precisión y, por último, se profundiza en el proceso de respuesta y la notificación de la misma a la autoridad de control.

Por último, la notificación de una quiebra de seguridad no implica la imposición de una sanción de forma directa, ya que es necesario analizar la diligencia de responsables y encargados y las medidas de seguridad aplicadas.

Evaluaciones de impacto sobre la protección de datos

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un análisis de los riesgos que un producto o servicio puede entrañar para la protección de datos de los afectados y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.

También, podemos definir la EIPD como un proceso donde se lleva a cabo un esfuerzo consciente y sistemático para evaluar el impacto en la protección de datos personales de las opciones que pueden adoptarse en relación con una determinada propuesta o proyecto.

No todas las evaluaciones se harán con la misma intensidad ni con el mismo grado de profundidad. Habrá casos en los que será posible llevarlas a cabo de una manera menos exhaustiva y formalizada (porque los riesgos son escasos o fácilmente mitigables) mientras que en otras situaciones podrían incluso requerirse acciones adicionales (por la complejidad o la importancia de los riesgos existentes).

La AEPD recomienda hacer una EIPD, cuando:

Se modifique la información tratada sobre las personas mediante la recogida de nuevas categorías de datos o se usen con nuevas finalidades o en formas diferentes (sobre todo si son más intrusivos o inesperados para los afectados).

Se traten datos de menores, en particular si tienen menos de catorce años.

Se traten datos que evalúan o predicen aspectos personales de los afectados (elaboración de perfiles).

Se traten grandes volúmenes de datos personales a través de tecnologías como la de datos masivos (Big data), internet de las cosas (Internet of Things) o el desarrollo y la construcción de ciudades inteligentes (smart cities).

Se usan tecnologías que son invasivas con la privacidad como la videovigilancia a gran escala, la utilización de aeronaves no tripuladas (drones), la vigilancia electrónica, la minería de datos, la biometría, las técnicas genéticas, la geolocalización, o la utilización de etiquetas de radiofrecuencia, etc.

Se traten datos de un número elevado de personas o se acumulen gran cantidad de datos de los interesados.

Se cedan o comuniquen los datos personales a terceros y, si se pongan en marcha nuevas iniciativas que supongan compartir datos personales con terceros que antes no tenían acceso.

Se vayan a transferir los datos a países que no forman parte del Espacio Económico Europeo(EEE) y que no hayan sido objeto de una declaración de adecuación por parte de la Comisión Europea o de la AEPD.

Se vayan a utilizar formas de contactar con las personas afectadas consideradas intrusivas.

Se vayan a utilizar datos personales no disociados o no anonimizados de forma irreversible con fines estadísticos, históricos o de investigación científica.

La recogida tenga como finalidad el tratamiento sistemático y masivo de datos especialmente protegidos.

La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos