Cómo cumplir el RGPD (IV)

Cumplir el RGPD no puede ser una tarea simple como cumplimentar unos "checklist" y colocar unas cláusulas informativas.

Cumplir el RGPD debe ser la actividad cotidiana de la empresa y su responsabilidad es integrar en su propia estructura el cumplimiento normativo. Esto incluye no solo desarrollar unas políticas de actuación o de tratamiento adecuadas, sino también aplicar los principios de la protección de datos desde el diseño y por defecto.

Las organizaciones deben tomar medidas técnicas y organizativas adecuadas antes de que empiece el tratamiento de los datos para asegurarse de que cumplen los requisitos del Reglamento. Los riesgos de la privacidad de datos deben evaluarse adecuadamente, y los responsables pueden utilizar medidas complementarias que les ayuden a conseguir este fin como adherirse a un determinado código de conducta, realizar la certificación de sus sistemas (ISO 27001 por ejemplo), para demostrar su cumplimiento.

La protección de datos deberá diseñarse en sistemas de tratamiento por defecto y se deberá realizar una evaluación de impacto relativa a la protección de datos en determinadas circunstancias.

Hay que evaluar la buena práctica de las nuevas tecnologías y procesos si el tratamiento tiene un "alto riesgo" de perjudicar los derechos de los "interesados" y si el riesgo se puede reducir o evitar, por ejemplo, con la seudonimización. Una evaluación de impacto relativa a la protección de datos "en particular" puede ser necesaria cuando hay un tratamiento automático (incluido el archivo) y el tratamiento de categorías especiales de datos a gran escala.

El RGPD fomenta la adopción de programas de certificación como medio de demostrar el cumplimiento. El cumplimiento de la norma internacional de seguridad de la información ISO 27001, la única norma de seguridad de los datos reconocida internacionalmente, ayudará a las organizaciones a demostrar que se han esforzado en cumplir los requisitos de la seguridad de los datos del RGPD. Implementar una ISO 27001 implica establecer un marco común de procesos, personas y tecnologías con del fin de asegurar la información.

Otra de las obligaciones que nos impondrá el RGPD será la de mantener registros de todas las actividades de tratamiento de datos y que puedan estar disponibles ante una solicitud de la autoridad de control. Estos registros deben contener un conjunto específico de información que permitan demostrar qué datos se están tratando, dónde se están tratando, cómo se están tratando y por qué se están tratando.

Las empresas pequeñas que empleen menos de 250 empleados están exentas de estos requisitos de conservación de registros a menos que sus actividades de tratamiento impliquen un riesgo para los derechos y libertades de los interesados, no sean tratamientos ocasionales o incluyan categorías especiales de datos personales o datos relativos a condenas o delitos penales.

Se nos exigirá la llevanza del registro de actividades tanto si somos responsables como si somos encargados del tratamiento.