Miércoles, 26 Octubre 2016

La “responsabilidad activa” de las empresas bajo el nuevo Reglamento Europeo de Protección de Datos

VolverLa denominada “responsabilidad activa” de las empresas es el elemento esencial de uno de los pilares sobre los que se sustenta el nuevo Reglamento: la obligación de prevención que corresponde por principio a todas las organizaciones que tratan datos.

En efecto, las empresas tienen la obligación de adoptar aquellas medidas que aseguren razonablemente que, a priori, están en condiciones de cumplir con los principios, garantías y derechos establecidos en el Reglamento. Reducir su actuación, como en muchas ocasiones ha venido sucediendo en la práctica, a tratar de remediar una infracción una vez que ésta ya se ha producido no será aceptable. Resulta evidente que muchas de las infracciones en esta materia tan sensible tienen la capacidad potencial de causar a los titulares de los datos (“interesados”, según la terminología del Reglamento) unos daños que a posteriori pueden ser de muy difícil o incluso de imposible reparación.

Para reforzar esta idea de prevención, el Reglamento prevé un amplio catálogo de medidas, a alguna de las cuales ya nos hemos referido en artículos anteriores, como pueden ser:

- Protección de datos desde el diseño y por defecto.

- Realización de evaluaciones de impacto sobre la protección de datos.

- Establecimiento de medidas de seguridad.

- Mantenimiento de un registro de tratamientos.

- Nombramiento de un Delegado de Protección de Datos.

- Fomento del empleo de códigos de conducta, esquemas de certificación, etc.

La obligatoriedad de estas medidas, o el modo en que se apliquen, dependerán de diversos factores que será necesario analizar caso por caso, como el tipo de tratamiento, el riesgo que implica para los derechos y libertades de los interesados (los titulares de los datos) o los costes de implantación de tales medidas.

Como especialistas en Derecho Digital, queremos llamar la atención concretamente en este artículo sobre la protección de datos desde el diseño y por defecto, medidas ambas concebidas en el nuevo Reglamento General como parte de un correcto proceso de puesta en marcha de cualquier tratamiento de datos.

En aplicación del Reglamento, el responsable del tratamiento deberá adoptar, no sólo durante el propio tratamiento sino incluso desde el primer momento en que comience a determinar los medios de tratamiento, las medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos, como serían la seudonimización o la minimización de datos, e integrar en el tratamiento las garantías necesarias para cumplir con los requisitos establecidos en el Reglamento y proteger los derechos de los interesados.

Para ello deberá tener en cuenta criterios tales como:

a) El estado de la técnica.

b) La naturaleza, ámbito, contexto y fines del tratamiento.

c) El coste de la aplicación de las medidas.

d) Los riesgos, y su grado de probabilidad y/o gravedad, que entraña el tratamiento para los derechos y libertades de las personas físicas.

Asimismo, el responsable del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar que, por defecto, solo sean objeto de tratamiento aquellos concretos datos personales que sean necesarios para cada uno de los fines específicos del tratamiento en cuestión.

Esta obligación se aplicará:

a) A la cantidad de datos personales recogidos.

b) A la extensión de su tratamiento.

c) A su plazo de conservación.

d) A su accesibilidad.

Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles sin la intervención de la persona a un número indeterminado de personas físicas.

El Reglamento prevé, adicionalmente, que las empresas puedan, de forma voluntaria, hacer uso de un mecanismo de certificación, aprobado con arreglo al procedimiento descrito en su artículo 42, como elemento objetivo que acredite el cumplimiento de las obligaciones arriba reseñadas. No obstante, es necesario destacar que dicha certificación no limitará la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del Reglamento, y se entenderá sin perjuicio de las funciones y los poderes de las autoridades de control que sean competentes.

En el Departamento TIC de Belzuz Abogados, como abogados especialistas en Derecho Digital y Protección de Datos, estamos a disposición de nuestros clientes para aclarar cualquier duda que les pueda surgir respecto a sus nuevas obligaciones y responsabilidades conforme al nuevo Reglamento General de Protección de Datos, y para ayudarles a planificar los procesos de adaptación necesarios.

Departamento de Tecnologías de la Información y de la Comunicación (TIC)

 

Belzuz Abogados SLP

La presente publicación contiene información de carácter general sin que constituya opinión profesional ni asesoría jurídica. © Belzuz Abogados, S.L.P., quedan reservados todos los derechos. Se prohíbe la explotación, reproducción, distribución, comunicación pública y transformación total o parcial, de esta obra, sin autorización escrita de Belzuz Abogados, S.L.P.

Madrid

Belzuz Abogados - Despacho de Madrid

Nuñez de Balboa 115 bis 1

  28006 Madrid

+34 91 562 50 76

+34 91 562 45 40

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Lisboa

Belzuz Abogados - Despacho de Lisboa

Av. Duque d´Ávila, 141 – 1º Dtº

  1050-081 Lisboa

+351 21 324 05 30

+351 21 347 84 52

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Oporto

Belzuz Abogados - Despacho de Oporto

Rua Julio Dinis 204, Off 314

  4050-318 Oporto

+351 22 938 94 52

+351 22 938 94 54

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Asociaciones

  • 1_insuralex
  • 3_chambers-2024
  • 4_cle
  • 5_chp
  • 6_aeafa