Eduardo Díaz Meco analiza brevemente la normativa europea ( REPD ) que consagra el principio de responsabilidad proactiva y obliga a revisar en modo en que las organizaciones recaban el consentimiento
El próximo día 25 de mayo entra en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“Reglamento general de protección de datos”).
Uno de los principios que inspiran el Reglamento es la proclamación del principio de responsabilidad proactiva, que atribuye al responsable del tratamiento la carga de aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Resulta conveniente que las empresas o profesionales responsables de tratamientos analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. Todo ello con la finalidad de determinar de forma explícita la manera en que aplicarán las medidas contempladas en el Reglamento. Estas medidas se concretan en la elaboración de un análisis de riesgo, la confección de un registro de actividades de tratamiento, la protección de datos desde el diseño, la notificación de violaciones o quiebras de seguridad, la evaluación del impacto antes del inicio de tratamientos, la promoción de códigos de conducta y esquemas de certificación y el nombramiento de un Delegado de Protección de Datos.
Merece especial consideración esta última prescripción del Reglamento. El nombramiento de un Delegado de Protección de Datos resulta exigible no solo a los responsables del fichero, sino también a los encargados del tratamiento cuyas actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala. El Delegado debe estar en posesión de una cualificación profesional acreditable en materia de protección de datos, que aúne conocimientos jurídicos, técnicos y organizativos.
El Reglamento establece que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas. La aplicación de las medidas previstas por el Reglamento debe adaptarse a las características específicas de las organizaciones responsables.
Todo tratamiento de datos debe sustentarse en una base jurídica que lo legitime, ya sea un consentimiento, una relación contractual, la concurrencia de intereses vitales o la existencia de una obligación legal.
La figura del Encargado del Tratamiento pasa a ser objeto de atribución de nuevas obligaciones tales como el mantenimiento de un registro de actividades de tratamiento, la determinación de medidas de seguridad o la designación de un Delegado de Protección de Datos.
Eduardo Díaz Meco https://tc-abogados.es/equipo/#diaz