ARTÍCULO 5, APARTADO 2, DEL RGPD
El principio de responsabilidad
El principio de responsabilidad significa que el controlador (la empresa) es responsable de garantizar que cumple con todos los principios de protección de datos al procesar datos personales. Los siete principios de protección de datos impregnan todo el Reglamento General de Protección de Datos, también conocido como RGPD. Constituyen la base de todas las disposiciones del RGPD.
RGPD - El Principio de Responsabilidad
El responsable del tratamiento tiene la obligación de demostrar que cumple todas las disposiciones y principios del RGPD. En otras palabras, los interesados o las autoridades de protección de datos no necesitan demostrar lo contrario y demostrar que el responsable del tratamiento infringe el RGPD. En cambio, es el controlador el que necesita probar y demostrar que cumple con el RGPD. Esto se deriva del principio fundamental de rendición de cuentas, que es un elemento central del RGPD. El artículo 5, apartado 2, del RGPD regula el principio de rendición de cuentas.
También tenga en cuenta que la empresa también debe cumplir con los otros principios básicos de protección de datos, como el Principio de Protección de Datos de Minimización de Datos.
Cómo demostrar el cumplimiento del Principio de Responsabilidad
Una empresa puede hacer una variedad de cosas para demostrar el cumplimiento del RGPD y el principio de responsabilidad. Tenga en cuenta que la autoridad de control puede solicitar el acceso a la totalidad o parte de la documentación de la empresa, los registros de las actividades de tratamiento, etc. Por lo tanto, es importante que una empresa esté preparada y tenga buen orden en su trabajo interno y práctico del RGPD y la documentación asociada.
A continuación se presentan algunos ejemplos de acciones que las empresas pueden tomar para demostrar el cumplimiento del principio de responsabilidad.
Facilitar información a los interesados
Las empresas que procesan datos personales deben informar a los interesados antes del procesamiento. La información debe ser clara. Por ejemplo, quién es el controlador, el propósito del procesamiento, cuánto tiempo necesita la empresa para procesar los datos personales y qué riesgos implica el procesamiento para los interesados, etc.
Documentar todas las evaluaciones, infracciones, procedimientos, etc.
Las empresas deben documentar sus operaciones de procesamiento, justificaciones de decisiones y otra información que pueda demostrar que la empresa cumple con el RGPD. Por ejemplo, si una empresa cree que tiene un interés legítimo, necesita hacer y documentar un equilibrio de intereses. Además, las empresas deben llevar a cabo evaluaciones de impacto para determinadas operaciones de tratamiento.
Implementar procedimientos y directrices internas
Las empresas deben tener procedimientos internos de protección de datos y directrices que los empleados deben seguir. Por ejemplo, plantillas sobre cómo deben responder los empleados a las preguntas sobre el tratamiento de datos personales de los interesados. Otro ejemplo son los procedimientos internos sobre cómo los empleados deben poder cumplir con los derechos que los interesados tienen en virtud del RGPD. O rutinas sobre cómo los empleados deben eliminar los datos personales que la empresa ya no necesita procesar.
Más ejemplos
Educar al personal sobre RGPD y protección de datos
El personal puede necesitar capacitación en RGPD para que la organización cumpla con las regulaciones. Es común que las empresas envíen a determinados empleados a cursos de formación. Además, algunas empresas más grandes tienen varios empleados en, por ejemplo, diferentes departamentos de la empresa que necesitan conocimientos sobre RGPD y, por lo tanto, se les permite asistir a la capacitación.
Documentar las violaciones de datos personales (artículo 33, apartado 5, del RGPD)
Una violación de datos personales es un incidente de seguridad que ocurre, por ejemplo, cuando alguien no autorizado obtiene acceso a datos personales. Además, se trata de una violación de datos personales si los datos personales se pierden o se modifican sin autorización. En caso de violación de datos personales, la empresa documentará la violación e intentará minimizar las consecuencias. Esto se aplica independientemente de si el incidente debe notificarse o no a la autoridad de control.
Publicar el aviso de privacidad en el sitio web (artículo 12 del RGPD)
Es común que las empresas publiquen su aviso de privacidad en el sitio web. Un aviso de privacidad contiene información y descripción del procesamiento de datos personales. Por ejemplo, fines de información y base legal para el procesamiento. Además, las empresas que tienen un delegado de protección de datos suelen incluir sus datos de contacto en el aviso de privacidad. Las empresas no deben incluir el aviso de privacidad en sus términos y condiciones, sino que deben tenerlos por separado.
Qué pensar con respecto a una casilla de consentimiento (artículo 7 del RGPD)
Las empresas que procesan datos personales sobre la base del consentimiento de base legal pueden recopilar el consentimiento de varias maneras. En algunos casos, esto se puede hacer a través de una casilla de verificación en un formulario, un formulario o similar. Es importante tener en cuenta que la casilla de consentimiento no debe marcarse. Esto se debe a que no es un consentimiento dado activamente y, por lo tanto, no se vuelve válido.
Consentimiento válido y fácil de retirar
Las empresas deben poder demostrar que han obtenido un consentimiento válido, si esta es la base legal para el tratamiento de los datos personales. Además, será fácil para los interesados retirar el consentimiento prestado. De lo contrario, el consentimiento tampoco es válido.
Documentación
La empresa también documentará los consentimientos obtenidos con el fin de poder acreditarlos, de acuerdo con el principio de rendición de cuentas Tenga en cuenta que hay cierta información que debe proporcionarse al obtener el consentimiento.
Llevar a cabo una evaluación de impacto sobre la protección de datos (artículo 35 del RGPD)
Las empresas llevarán a cabo una evaluación de impacto relativa a la protección de datos en determinados casos. Esto se aplica si es probable que el tratamiento dé lugar a un alto riesgo para los derechos y libertades de las personas físicas. En tales casos, la empresa llevará a cabo y documentará la evaluación de impacto antes del inicio del tratamiento.
Llevar un registro de las actividades de tratamiento (artículo 30 del RGPD)
Otra forma de cumplir con el principio de rendición de cuentas es llevar un registro de las actividades de procesamiento. Contendrá información sobre todo el tratamiento de datos personales. Como el propósito, el período de almacenamiento, los destinatarios de los datos personales, etc. El artículo 30 del RGPD contiene información sobre lo que debe contener un registro de actividades de procesamiento para cumplir con los requisitos mínimos.
OTROS PRINCIPIOS DE PROTECCIÓN DE DATOS
Principio de legalidad, equidad y transparencia
Este principio básico de protección de datos consta de tres partes: legalidad, equidad y transparencia. La licitud significa que las empresas deben tener una base legal para el procesamiento de datos personales. Por ejemplo, consentimiento o acuerdos con los interesados. Equidad significa que la empresa no procesará datos personales de manera desproporcionada en relación con el procesamiento. La transparencia significa que las empresas deben informar a los interesados sobre el tratamiento de manera transparente. En otras palabras, no debe quedar claro que los interesados comprendan, por ejemplo, la finalidad del tratamiento.