952 10 14 94

¿Qué es la responsabilidad activa? El reglamento entiende que actuar solo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Por lo tanto, la responsabilidad activa no es más que hacer un esfuerzo de PREVENCIÓN en las compañías.

Por eso, la responsabilidad activa incluye una serie de materias a tener en cuenta que vamos a desgranar aquí.

Protección de datos desde el diseño

Desde el momento en el que vayamos a hacer alguna tarea que implique el tratamiento de datos personales ya debemos estar pensando en protección de datos. ¿Cómo evitar que se produzcan daños? A través de mecanismos de cifrado, de pseudonimización (se camufla la identidad de los clientes), anonimización o minimización de acceso a los datos. No todos los empleados tienen por qué saber el nombre de los clientes, por ejemplo, pero si les interesa saber la edad, dónde vive, sexo, profesión y estado civil. Como vemos, puedes saber mucho acerca de una persona pero no lo estás identificando con nombre y apellidos.

Protección de datos por defecto

El responsable tiene la obligación de aplicar las medidas técnicas y organizativas para garantizar que sólo serán tratados los datos que realmente sean necesarios para cada fin específico del tratamiento. Estas medidas se aplicarán a la cantidad de datos recogidos, a la extensión de su tratamiento, a su plazo de conservación, y a su accesibilidad.

Mantenimiento de un registro de tratamientos

Deja de ser necesaria la inscripción y notificación de ficheros y nace la obligación de documentar y conservar la documentación sobre operaciones de tratamiento realizadas para empresas de más de 250 trabajadores o tratamientos que entrañen riesgos.

Realización de evaluaciones de impacto sobre la protección de datos

Esta evaluación de impacto debe contener:

  • Análisis de necesidades donde se valore la necesidad de realizarlo o no. No todos los proyectos de una compañía llevan instrínsecos un tratamiento de datos, pero si es así, habrá que ver cuáles son los supuestos en los que la legislación te obliga a hacerlo. A modo resumen:
    • Discriminación, usurpación de identidad, fraude, pérdida de confidencialidad.
    • Cuando el tratamiento de datos implica una evaluación de aspectos personales de los afectados con el fin de crear perfiles personales
    • Cuando afecte a un grupo en situación de especial vulnerabilidad (menores, personas con discapacidad, etc.).
    • Cuando haya un tratamiento masivo.
    • Cuando se vayan a producir transferencias a terceros estados u organizaciones internacionales sin un nivel adecuado de protección.
  • Descripción del proyecto y de los flujos de información: qué datos se tratan, las categorías de datos, los flujos de información y las tecnologías utilizadas.
  • Análisis de riesgos con valoración de posibilidad de que ocurra y el daño que puede causar si ocurre (riesgos de reidentificación existentes conocidos, riesgos potenciales de reidentificación y riesgos no conocidos)
  • Gestión de riesgos identificados: Determinar controles y medidas que hay que realizar para eliminar, mitigar, transferir o aceptar los riesgos detectados.
  • Análisis de cumplimiento normativo
  • Informe final con riesgos identificados, recomendaciones y propuestas para llevar a cabo
  • Implantación de las recomendaciones con las acciones a llevar a cabo, asignación de recursos y responsables de implantación.
  • Revisión y realimentación: comprobar la efectividad de la evaluación de impacto, ver si se han creado nuevos riesgos, si han ocurrido algunos que no estaban previstos, etc.

Nombramiento de un delegado de protección de datos (DPD)

Este delegado de protección de datos debe informar y asesorar al responsable/encargado de datos y a los empleados, supervisar el cumplimiento del reglamento, ofrecer asesoramiento en las evaluaciones de impacto, cooperar con la autoridad de control y actuar como punto de contacto entre la Autoridad de Control y el interesado que esté ejercitando sus derechos.

Notificación de violaciones de la seguridad de los datos

Hay que notificar todo incidente que pueda afectar a los datos personales a la autoridad de control en el plazo de 72 horas a contar desde que se conoce el mismo.

Además, hay que notificar al afectado si la violación entraña un alto riesgo para sus derechos y libertados.

Protección de datos para empresas y autónomos

Promoción de Códigos de Conducta y mecanismos de certificación

Los códigos de conducta son más bien voluntarios. Es una especie de autorregulación que una empresa decide implantar. Estos códigos nos permiten demostrar el cumplimiento de las obligaciones del responsable, de las medidas de seguridad y ofrecer garantías suficientes para realizar una transferencia internacional de datos.

Como veis, este código de conducta no es obligatorio, sin embargo, el reglamento dice que se tendrá en cuenta la existencia de un código de conducta a la hora de sancionar. Este código de conducta nunca va a eximir de una sanción, pero si puede ayudar a que se reduzca.

Una vez vistos los puntos importantes, estaréis de acuerdo en que la prevención es el mayor de nuestros avales a la hora de gestionar un negocio. Los planes de igualdad, el plan de acoso laboral, los códigos de conducta y la responsabilidad activa…  Cada vez son más los aspectos a tener en cuenta a la hora de poner en marcha un negocio o incluso de tomar la decisión de ampliar la plantilla.

La #ResponsabilidadActiva no es más que la prevención de las compañías frente a la protección y tratamiento de los datos. #RGPD #proteccióndedatos #GDPR TUITEA PARA DIFUNDIR CONOCIMIENTO

Noticias de interés

Comparte en:
Paola Ríos de Audiolís

Paola Ríos de Audiolís

Responsable del Dpto. de Marketing y Comunicación. Contenidos y artículos de interés relacionados con la formación y el empleo.