¿QUÉ ES EL PRINCIPIO DE RESPONSABILIDAD PRO-ACTIVA?
- Se define como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
- Requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
- A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
- En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
La siguiente propuesta de protocolos internos es una de las muchas opciones que pueden plantearse a lo hora de acometer el proceso de cumplimiento del RGPD.
Lo importante es que el procedimiento que desarrolle la empresa:
- garantice el cumplimiento de cada requisito legal
- facilite proceso de documentación y generación de evidencias
- permita gestionar de manera óptima el seguimiento y control permanente del sistema interno de cumplimiento.
Por no hacerlo muy pesado, iré exponiendo los protocolos paso a paso con el siguiente esquema:
- PROTOCOLO DE IDENTIFICACIÓN DE COLECTIVOS (Artículo 6 RGPD) CON EL CORRESPONDIENTE ANÁLISIS DE LA BASE QUE LEGITIMA EL TRATAMIENTO
- PROTOCOLO DE CUMPLIMIENTO DEL DEBER DE INFORMACIÓN (ARTÍCULOS 13 Y 14 RGPD):
- PROTOCOLO DE REGULACIÓN DE LA RELACIÓN ENTRE RESPONSABLE Y ENCARGADO DEL TRATAMIENTO (ARTÍCULO 28 RGPD)
- PROTOCOLO PARA HACER EFECTIVO EL EJERCICIO DE DERECHOS (ARTÍCULOS 15 a 22 RGPD):
- PROTOCOLO DE GESTIÓN DEL REGISTRO DE ACTIVIDADES DEL TRATAMIENTO (ARTÍCULO 30 RGPD)
- PROTOCOLO DE GESTIÓN Y NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD (ARTÍCULOS 33 Y 34 RGPD)
- PROTOCOLO DE CUMPLIMIENTO EN RELACIÓN CON LA FIGURA DE DELEGADO DE PROTECCIÓN DE DATOS (ARTÍCULOS 37, 38, Y 39 RGPD)
- PROTOCOLO DE ANÁLISIS DE RIESGOS / EVALUACIÓN DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS (ARTÍCULOS 32, 35 Y 36 RGPD)
Gestiona Abogados
El primero de hoy es el referido al primer punto:
PROTOCOLO DE IDENTIFICACIÓN DE COLECTIVOS (Artículo 6 RGPD).
Identificar los distintos colectivos de datos de carácter personal que maneja la organización. Los colectivos más habituales tratados en las empresas serían:
- Clientes
- Destinatarios de comunicaciones comerciales
- Proveedores
- Empleados
- Solicitantes de empleo
- Sistema de vídeo vigilancia.
Proceso/s de obtención de datos: se propone documentar las distintas vías de recogida de información personal (a través de formularios online, contratos, vía telefónica, etc.) con el fin de facilitar el análisis de la base que legitima el tratamiento en cada caso.
Gestiona AbogadosANÁLISIS DE LA BASE QUE LEGITIMA EL TRATAMIENTO
Especificar cuáles de las siguientes bases legitima el tratamiento que vamos a realizar:
- Consentimiento
- Relación contractual o pre-contractual
- Obligación legal
- Interés vital
- Interés público o ejercicio de poderes públicos
- Interés legítimo
Aportación de evidencias: se recomienda aportar, por cada proceso analizado, las evidencias que justifican la licitud del tratamiento. Por ejemplo, si hemos indicado que respecto al colectivo de clientes, los datos se recaban a través de un formulario online, se puede aportar como evidencia el enlace al formulario web en el que se puede verificar la existencia de una casilla de aceptación y un enlace a la Política de Privacidad.
El próximo día veremos el Protocolo de cumplimiento del deber de información.
No te lo pierdas 🙂
