ü  ADECUACIÓN INICIAL A LA NORMATIVA

 

Con la publicación del REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, en adelante RGPD), estamos en disposición de adecuar a las organizaciones conforme a las directrices en él marcadas y basadas en el principio de Accountability, ayudándoles a cumplirlo y a poder demostrarlo, todo ello -y en la medida de lo posible- con anterioridad a la fecha de obligado cumplimiento (25 de mayo de 2018).

 

El modelo de cumplimiento pasa de ser reactivo a proactivo, de manera que es el responsable quien debe cumplir con lo especificado en la norma y, además, ser capaz de demostrarlo. Para ello se establecen una serie de actuaciones que esquematizamos a continuación y que darán contenido a nuestros servicios.

 

En primer lugar, realizaremos un análisis completo de los tratamientos de datos que se llevan a cabo en cada organización a fin de determinar su contexto, alcance y finalidades, para verificar el cumplimiento de los principios normativos (licitud, transparencia, calidad de los datos, etc.)  y, en su caso, corregir sus deficiencias o carencias.

 

Una vez que los tratamientos se ajusten a los principios estableceremos aquellas acciones necesarias para poder demostrar dicho modelo de cumplimiento proactivo, mediante:

 

La creación de un Registro de Actividades de Tratamiento.

  • El establecimiento de medidas de protección de datos desde el Diseño y por Defecto
  • El necesario análisis de riesgos que dé como resultado la aplicación de las medidas de seguridad técnicas, organizativas y legales necesarias a fin de minimizar dichos riesgos
  • Cuando el riesgo analizado tenga la consideración de muy elevado, en base a las prescripciones del RGPD, se analizará la necesidad de llevar a cabo las preceptivas Evaluaciones de Impacto a la protección de datos y, de ser necesario, realizaremos las consultas previas a la autoridad de control
  • Analizaremos la necesidad o no de designar un DPO
  • Estableceremos los mecanismos y protocolos para detectar y comunicar las brechas o violaciones de seguridad (Data breach notification)
  • Analizaremos los códigos de conducta o certificaciones a fin de determinar su encaje en la organización y las recomendaciones de su adscripción
  • Desarrollaremos las políticas de seguridad de la organización, así como las necesarias cláusulas informativas, contratos de encargo y cualquier otra documentación que contribuya a demostrar la sujeción a la norma

Es importante destacar que el simple hecho de no cumplir con estas obligaciones puede conllevar directamente una infracción sancionable puesto que ahora ya no será necesaria una denuncia de las partes afectadas, sino un simple requerimiento de la autoridad de control para demostrar nuestra responsabilidad proactiva.