Obligaciones del responsable en protección de datos

Obligaciones del responsable en protección de datos

Alerta de riesgosEntre las obligaciones del responsable en protección de datos está la de velar por la seguridad del tratamiento de los datos y adoptar las medidas necesarias para garantizar los principios de la protección de datos desde el diseño y por defecto (Privacy by Design) y el cumplimiento normativo (Accountability o responsabilidad del responsable).

La realización de una Evaluación de Impacto (Data Protection Assessment o DPIA) será obligatoria en aquellos tratamientos que entrañen un alto riesgo para los derechos y libertades de las personas físicas, como pueden ser las operaciones de tratamiento que implican el uso de nuevas tecnologías.

El Reglamento Europeo de Protección de Datos refuerza la protección de los derechos y libertades de las personas respecto al tratamiento de sus datos. Esto significa por una parte, que las personas van a tener un mayor control sobre el tratamiento de sus datos y, por otra, que se va a exigir al responsable que adopte las medidas necesarias para garantizar la seguridad del tratamiento en función del riesgo. En definitiva, el Reglamento apuesta por una seguridad del tratamiento menos formal y más enfocada a gestionarla en función del riesgo de la actividad.

Una de las herramientas de las que va a disponer el responsable para adoptar las medidas de seguridad es la realización de una Evaluación de Impacto (Data Protection Impact Assessment o DPIA), proceso sistemático a través del cual se va a identificar qué datos se tratan y de qué forma para determinar los riesgos que supone su tratamiento y adoptar las medidas necesarias para mitigarlos. Para efectuar la Evaluación de Impacto se requerirá el asesoramiento de un Delgado de Protección de Datos (Data Protection Officer o DPO), figura experta en privacidad, que dará directrices sobre cómo debe llevarse a cabo, sobre las decisiones a tomar en cuanto a las medidas para mitigar los riesgos y la aplicación de las mismas, velando por la continuidad del cumplimiento normativo.

¿Cuándo debe realizarse una Evaluación de Impacto?

Según dispone el Reglamento Europeo, en general, debe efectuarse antes de iniciar un tratamiento cuando sea probable que éste entrañe un alto riesgo para los derechos y libertades de las personas físicas y, en particular, cuando:

  • El tratamiento implique el uso de nuevas tecnologías.
  • Sea un tratamiento nuevo y no se haya realizado antes una Evaluación de Impacto.
  • Si resulta necesario por el transcurso de tiempo desde que se inició el tratamiento.

¿En qué supuestos será abligatorio realizarla?

  • Cuando el tratamiento consista en evaluar de forma sistemátiva y exhaustiva aspectos personales de las personas físicas, incluyendo la elaboración de perfiles, especialmente cuando en base al resultado del tratamiento se vayan a tomar decisiones que produzcan efectos jurídicos sobre la persona o le afecten significativamente. Por ejemplo, las operaciones de tratamiento de datos de una entidad bancaria para la concesión de créditos.
  • El tratamiento a gran escala de las categorías especiales de datos, es decir, de aquellos datos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, datos relativos a la salud y datos relativos a la vida sexual o a la orientación sexual. Por ejemplo, las operaciones de tratamiento de datos de un hospital.
  • Cuando el tratamiento consista en la observación a gran escala de una zona de acceso público. Por ejemplo, el tratamiento de datos del sistema de videovigilancia de una empresa de seguridad en un centro comercial.
  • En los supuestos que establezca la autoridad de control. Aún por determinar.

¿Qué deberá incluir el Informe de Evaluación de Impacto?

El resultado de la evaluación se plasmará en un documento, que contendrá, como mínimo:

  • Una descripción de las operaciones de tratamiento, incluyendo, cuando proceda, el interés legítimo que persigue el responsable.
  • Informe sobre la evaluación de la necesidad de llevar a cabo la evaluación.
  • Informe de evaluación de los riesgos para los derechos y libertades de los interesados.
  • Informe sobre las medidas previstas para mitigar los riesgos (garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales) que demuestren el cumplimiento normativo.

Si del resultado de la evaluación se desprende que el tratamiento implica un riesgo alto para los derechos y libertades de las personas y el responsable considera que no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación, deberá consultar a la autoridad de control (actualmente en España, la AEPD) que deberá asesorar por escrito al responsable en el plazo de ocho semanas, prorrogable otras seis. Las autoridades de control podrán establecer en qué suspuestos será obligatorio efectuar esta consulta previa y obtener autorización previa, en particular en tratamientos relacionados con la protección social y la salud pública.

¿Cómo afecta a las PYMES y profesionales?

A falta del desarrollo normativo en españa, en nuestra opinión, dado el cambio de enfoque que ha dado el Reglamento en cuanto a la adopción de las medidas de seguridad en función del riesgo, consideramos conveniente la evaluación del riesgo de las operaciones de tratamiento que se lleven a cabo empleando medios tecnológicos (recogida de datos en páginas web, acceso de usuarios a áreas privadas, etc.) aún en el supuesto de que no se haya dispuesto la obligatoriedad.

Aunque el Reglamento no prevé hacer público el informe de la Evaluación de Impacto, sí que es habitual hacerlo en otros países como Estados Unidos o Canadá, incluso en el Reino Unido. Por ello, consideramos que sería una buena práctica por parte del responsable, que se pusiera a disposición del público un informe en el que se redactara en lenguaje sencillo los resultados más relevantes de la evaluación, lo que generaría, sin duda, confianza en las personas, tan importante, por ejemplo, a la hora de realizar operaciones de comercio electrónico.

 

En Zinetik Consultores podemos asesorarle desde el punto de vista jurídico y técnico.

Contáctenos

Comparte este artículo

Deja un comentario

Los datos solicitados son a efectos de identificación y control de spam. No se hará ningún uso de ellos, ni se publicará su dirección de correo. Si lo desea, puede consultar nuestra Política de Privacidad