Uno de los flecos más importantes del RGPD es el principio de responsabilidad proactiva. Porque, como en la vida, no vale con ser, sino que debemos poder demostrar lo que somos.
El Principio de responsabilidad proactiva consiste en la necesidad de que la empresa que posee los datos, es decir, el responsable del tratamiento de datos, no solo aplique las medidas necesarias con tal de garantizar la seguridad de la información ajena, sino que también pueda demostrar que su tipo de tratamiento de estos datos va acorde con el reglamento. Haciéndolo más fácil: no vale con cumplir la normativa, también debes poder demostrar que estás cumpliendo con la normativa.
Pero no se trata de que tú y tus empleados salgáis a la calle con megáfonos y pancartas que digan lo bien que procedéis en cuanto al RGPD. La dinámica es mucho más discreta y se resume en dos puntos.
El responsable del tratamiento de datos deberá establecer unos procedimientos a través de los cuales:
- Pueda garantizar que aplica la normativa.
- Pueda demostrar a terceros que la aplicación de la misma es efectiva y que cumple con el Reglamento General de Protección de Datos.
¿Cómo lo demuestro?
Para demostrarlo, el reglamento especifica una serie de medidas concretas, que son las siguientes:
- La entidad debe contar con la figura del delegado de protección de datos. En otros artículos encontrarás la definición de esta figura, que puede trabajar dentro de tu empresa o ser un consultor externo.
- Deben aplicarse medidas de protección de datos desde el diseño, y por defecto. Es decir, tendréis que tener en cuenta la aplicación del RGPD desde el momento en que empecéis a plantear vuestras piezas y plataformas online.
- Debe constar un registro de las actividades de tratamiento. Lo que sería la caja negra de todas las operaciones que hagáis con datos.
- Se efectuará un análisis de riesgo.
- Se tomarán medidas de seguridad.
- Debe llevarse a cabo una evaluación de impacto. En este artículo podrás encontrar la información necesaria sobre la ejecución de una evaluación de impacto.
- Se notificarán las brechas de seguridad. Es de obligado cumplimiento en la vigencia de este reglamento que se comunique a la Agencia y a los afectados la existencia de una brecha de seguridad.
Al cumplirlas todas, la demostración del cumplimiento del principio de responsabilidad proactiva estará resuelta. En resumen, se trata de un punto del reglamento que busca una actitud consciente, responsable y proactiva por parte de todos aquellos organismos que posean datos e información de terceros. Algo que nos ayudará a todos a convivir en el universo más grande y democrático del mundo: Internet.