¿Qué es la ley de Protección de datos?
La normativa de Protección de Datos, de obligado cumplimiento, es la LOPDGDD - Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y la RGPD - Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
La gestión del riesgo para los derechos y libertades de las personas físicas tiene por objetivo el estudio del impacto y la probabilidad de causarles daño, a nivel individual o social, como consecuencia de un tratamiento de datos personales. Es obligación general de los responsables del tratamiento de aplicar medidas para gestionar adecuadamente los riesgos para los derechos y libertades de los interesados.
Previamente al proceso de gestión de riesgos y como condición sine qua non para emprender una actividad de tratamiento, es preciso sistematizar la verificación de cumplimiento normativo a lo largo de todo el ciclo de vida del tratamiento.
¿Quién es el responsable de la gestión del tratamiento de datos personales?
Si se tratan datos o información sobre personas físicas que permitan su identificación, con fines determinados y tomas decisiones relacionadas con estos últimos para los que utilizas estos datos personales o los medios en los que llevas a cabo el almacenamiento y la forma de procesar los datos, eres “el responsable” de la actividad de tratamiento estos datos.
Si almacenas o procesas datos o información sobre personas físicas siguiendo las instrucciones de quien toma decisiones sobre los fines y los medios en los que los datos son procesados (“el responsable”) eres “el encargado” de la actividad de tratamiento de estos datos.
En cualquiera de los casos debes tener en cuenta las obligaciones que el RGPD y la LOPDGDD te exigen para proteger a las personas físicas cuyos datos estás tratando.
Por ejemplo un procurador sería un encargado en el tratamiento de datos para el cliente que ha contratado los servicios jurídicos al abogado que sería el responsable de los datos.
¿Cuáles son los principios fundamentales en que se basa la obligación de cumplimiento normativo?
- Licitud, transparencia y lealtad.- Consiste en que los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
- Finalidad.- Implica, por una parte, la obligación de que los datos sean tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otra, que se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
- Minimización de datos.- Aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.
- Exactitud.- Obliga a los responsables a disponer de medidas razonables para que los datos se encuentren actualizados, se supriman o modifiquen sin dilación cuando sean inexactos con respecto a los fines para los que se tratan.
- Limitación del plazo de conservación.- Constituye una de las materializaciones del principio de minimización. La conservación de esos datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados, bloqueados o, en su defecto, anonimizados, es decir, desprovistos de todo elemento que permita identificar a los interesados.
- Seguridad.- Impone a quienes tratan datos el necesario análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad y la confidencialidad de los datos personales que traten.
- Responsabilidad activa.- Obliga a los responsables a mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que el responsable pueda, tanto garantizar como estar en condiciones de demostrar que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGD.
¿Qué encaje hace este apartado en la gestión de riesgos de la gobernanza de un despacho?
Una parte importante de la política de datos en el despacho o empresa de servicios jurídicos ha de ser la política de protección de datos establecida en el artículo 24 del RGPD y la necesidad de adoptar dichas políticas expresada en el considerando 78.
Cuando se tratan datos personales, las personas físicas deben tener el control de sus propios datos y deben garantizarse sus derechos y libertades conforme al RGPD. Los interesados tienen la posibilidad de supervisar los tratamientos y al responsable con fines de transparencia.
Los tratamientos de datos personales deben estar respaldados por la implementación efectiva de los principios de protección de datos personales, tomando las medidas adecuadas y ofreciendo garantías suficientes.
El RGPD, en su artículo 24, establece que el responsable del tratamiento deberá aplicar las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con la normativa, teniendo en cuenta la naturaleza, el ámbito, el contexto, los fines del tratamiento y los riesgos a los que se puede ver expuesto dicho tratamiento. Además, señala como medidas pertinentes el establecimiento de políticas adecuadas de protección de datos.
La gobernanza de datos facilita el marco de trabajo apropiado para establecer dichas políticas, integrándolas en la organización de forma que se lleve a cabo una gestión y un control eficaz y pertinente, favoreciendo el cumplimiento del RGPD.
Cuando los tratamientos incluyan datos personales habría que añadir a los objetivos de gobernanza:
- Cumplir con los principios de protección de datos (licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad y responsabilidad proactiva).
- De la misma manera hacerlo con los restantes requisitos y obligaciones legales impuestos por la normativa de protección de datos.
- Garantizar que los interesados puedan ejercer sus derechos (derecho de acceso, rectificación, supresión (‘derecho al olvido’), limitación del tratamiento, notificación, portabilidad de los datos, oposición, y sobre decisiones individuales automatizadas).
- Para ese propósito abordarlo desde el diseño y por defecto, mediante una gestión del riesgo para los derechos y libertades.
¿Cuándo y hasta que momento debe garantizarse el correcto tratamiento?
A la hora de determinar los factores de riesgo a gestionar, hay que tener en cuenta el contexto presente y los potenciales contextos futuros, realizar una evaluación a largo plazo, especialmente en aquellos escenarios cuyo impacto pudiera derivar en un perjuicio muy elevado sobre los interesados o sobre la sociedad.
El proceso de gestión del riesgo comienza con la concepción del tratamiento y el análisis previo de los requisitos de cumplimiento de las previsiones de la normativa de protección de datos:
A partir de aquí pueden especificarse diferentes etapas secuenciales para determinar la probabilidad y la gravedad del impacto en caso de materializarse la amenaza, a través de las cuales se podrá decidir las medidas de corrección de riesgo hasta alcanzar un nivel residual aceptable.
- Descripción del tratamiento, tanto en lo que respecta a su naturaleza, como al ámbito, contexto y fines del mismo.
- Identificación y análisis de los riesgos en el tratamiento.
- Evaluación del nivel de riesgo y determinación de si procede o es necesario realizar una EIPD.
- Tratamiento del riesgo.
- Seguimiento y verificación de la eficacia de las medidas adoptadas y decisión sobre cuándo es necesario realizar un proceso de revisión y reevaluación de las medidas.
Es decir hay que valorar la necesidad de implementar un plan de acción, comprobar que funciona y sigue siendo válido en el tiempo de acuerdo a los cambios que pueden producirse respecto del tratamiento por ejemplo por cambios en las estrategias comerciales, adquisición de nueva tecnología, o incluso una brecha de seguridad por algún motivo.
¿Cuáles son los objetivos en las diferentes etapas del proceso de tratamiento? ¿Qué tipo de medidas para la prevención de riesgos de tratamiento pueden emplearse?
Os lo explico más concretamente en base al procedimiento general de tratamiento de datos y las diferentes de una evaluación de riesgos y la pertinencia o no de la evaluación de impacto según el sector, tipo de datos tratados y forma de tratamiento.
¿Hasta que punto es aceptable un riesgo en base a la normativa ?
El riesgo cero no existe porque pueden ocurrir acontecimientos imprevistos de muchas maneras y por ese motivo se recurre a diferentes medidas de tipo legal, técnico y organizativo para alcanzar un riesgo residual aceptable de acuerdo al RGPD.
La aproximación basada en el riesgo ha de ser proporcionada y estar guiada por principios de eficacia y eficiencia. La complejidad del proceso de gestión de riesgo ha de ajustarse, no al tamaño de la entidad, la disponibilidad de recursos, la especialidad o sector de la misma, sino al posible impacto de la actividad de tratamiento sobre los interesados y a la propia dificultad del tratamiento.
Esta entrada sintetiza algunos de los aspectos esenciales que recoge la AEPD - Agencia Española de Protección de Datos y se desarrollará en nuevas entradas en video aquí.
Opmerkingen