La responsabilidad proactiva de las entidades que tratan los datos personales

Las entidades que realizan el tratamiento de los datos personales deberán adoptar medidas que aseguren de manera razonable que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. La entidad responsable del tratamiento tendrá que asegurar el cumplimiento de los principios relativos a dicho tratamiento, y capaz de demostrarlo. Los principios que ha de respetar la entidad responsable del tratamiento son:

• Licitud, lealtad y transparencia.
• Limitación de la finalidad.
• Minimización de datos.
• Exactitud.
• Limitación en el plazo de conservación.
• Integridad y confidencialidad.

El Reglamento prevé un conjunto de medidas de prevención a aplicar por las entidades responsables en el tratamiento de los datos personales:

• Protección de datos personales desde el diseño. Las entidades responsables del tratamiento de los datos personales aplicarán medidas técnicas y organizativas apropiadas concebidas para aplicar de forma efectiva los principios de protección de datos.

• Protección de datos personales por defecto. Las entidades responsables del tratamiento de datos personales aplicarán medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, sólo sean objeto de tratamiento los datos que sean necesarios para cada uno de los fines específicos de dicho tratamiento.

• Mantenimiento de un registro de las actividades de tratamiento. Cada entidad responsable del tratamiento de datos personales llevará un registro de las actividades de dicho tratamiento realizadas bajo su responsabilidad. En tal Registro se contendrá:

1. Nombre y datos de contacto de la entidad responsable, y de la persona que sea Delegada de Protección de Datos.
2. Los fines del tratamiento.
3. Descripción de las categorías de personas interesadas y de las categorías de datos personales.
4. Las categorías de personas destinatarias a quienes se comunicaron o comunicarán los datos personales.
5. Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
6. En su caso, las transferencias de datos personales a un país tercero u organización internacional.
7. Si es posible, descripción general de las medidas técnicas y organizativas de seguridad.

• Medidas de seguridad del tratamiento. La entidad responsable o encargada del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Éstas incluirán, entre otras medidas:

1. La seudonimización (tratamiento de datos personales de modo que ya no puedan atribuirse a una persona interesada sin utilizar información adicional) y cifrado de datos personales.
2. Capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento.
3. Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
4. Proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas de seguridad aplicadas.

• Notificación de una violación de la seguridad de los datos personales. La entidad responsable del tratamiento de los datos personales, en caso de violación de la seguridad de los mismos, la notificará a la autoridad competente en protección de datos (la Agencia Española de Protección de Datos). Esta notificación será sin dilación indebida y, de ser posible, a más tardar 72 horas tras haber tenido constancia de ella.

• Comunicación de una violación de la seguridad de los datos personales a la persona interesada.  Cuando sea probable que la violación en la seguridad de los datos personales entrañe alto riesgo para los derechos y libertades de las personas físicas, la entidad responsable de su tratamiento la comunicará a la persona interesada sin dilación indebida, en lenguaje claro y sencillo.

• Evaluación de impacto relativa a la protección de datos personales. Cuando sea probable que un tipo de tratamiento entrañe alto riesgo para los derechos y libertades de las personas físicas, la entidad responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de dicho tratamiento.

• Consulta previa. La entidad responsable del tratamiento de los datos personales, antes de proceder a dicho tratamiento, y cuando la evaluación de impacto relativa a la protección de datos muestre que el tratamiento entrañaría alto riesgo, realizará la consulta previa a la autoridad competente en protección de datos (la Agencia Española de Protección de Datos).

• Promoción de Códigos de Conducta. Destinados a contribuir a la correcta aplicación del Reglamento Europeo de Protección de Datos.

• Promoción de la creación de certificación en materia de protección de datos y de sellos y marcas de protección de datos. Destinados a demostrar el cumplimiento de lo establecido en el Reglamento Europeo en las operaciones de tratamiento de los datos personales.

• Designación de personas delegadas de protección de datos.

Las personas con función de delegadas de protección de datos.

El Reglamento Europeo de Protección de Datos regula la figura de la Persona Delegada de Protección de Datos (DPD). Esta figura será obligatoria para:

• Las autoridades y organismos públicos.
• Entidades responsables o encargadas que tengan entre sus actividades principales las operaciones de tratamiento que precisen una observación habitual y sistemática de personas interesadas a gran escala.
• Entidades responsables o encargadas que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.

La persona DPD ha de ser nombrada en virtud de sus cualificaciones profesionales y por su conocimiento en legislación y la práctica en la protección de datos personales. No se le exige una titulación específica, aunque será preciso que cuente con conocimientos en la materia de protección de datos, así como en materia de tecnología sobre tratamiento de datos o en el ámbito de la actividad de la organización donde realice su tarea.

Entre las funciones de la persona DPD se encuentran las siguientes:

• Informar y asesorar a la entidad responsable o a la encargada del tratamiento y a las personas empleadas que se ocupen de dicho tratamiento, sobre las obligaciones que les incumben en virtud de la normativa sobre protección de datos.
• Supervisar el cumplimiento de lo dispuesto en el Reglamento de Protección de Datos  y otras normas sobre esta materia. Se incluyen: asignación de responsabilidades, concienciación, sensibilización y formación del personal que participa en las operaciones de tratamiento, así como las oportunas auditorías.
• Ofrecer asesoramiento que se le solicite con relación a la evaluación del impacto relativa a la protección de datos.
• Cooperar con las autoridades competentes en materia de protección de datos personales (en España, la Agencia Española de Protección de Datos).
• Actuar como punto de contacto de la autoridad competente en materia de protección de datos para cuestiones relativas al tratamiento de los mismos.

Si necesita información o asesoramiento en materia de consumo no dude en contactar con nosotros. Le recordamos que estamos a su disposición de forma gratuita y continuada a través del número de teléfono 900 21 50 80, del correo electrónico consumoresponde@juntadeandalucia.es, así como en nuestros perfiles de redes sociales o a través de esta misma página Web. Y si prefiere un servicio de atención presencial, puede acercarse a alguno de los Servicios Provinciales de Consumo, presentes en todas las capitales de provincia andaluzas.

Asimismo, podrá ampliar información en la web de la Agencia Española de Protección de Datos (AGPD).