Uno de los aspectos más interesantes y novedosos del (RGPD), es la responsabilidad activa.
La responsabilidad activa, supone que las entidades que traten datos personales, deben establecer criterios y sistemas de privacidad que aseguren la información y los datos que gestionan, de manera que la salvaguarda de la información se haga de forma proactiva y no como respuesta a una incidencia.
Si hasta ahora estábamos acostumbrados a responder en caso de riesgo o incidencia, el RGPD propone que los controles se establezcan de forma preventiva y se mantenga una constante monitorización sobre la gestión de esa información, para evitar cualquier tipo de incidente y en caso de que se produzca solucionarlo.
Este concepto de responsabilidad activa, se traduce en las empresas en las siguientes acciones:
Análisis de los riesgos que suponen los tratamientos de datos y cuales son las medidas de seguridad a aplicar para prevenirlo y corregirlos en caso necesario.
Registro de los tratamientos de datos, que busca analizar que información se gestiona, quienes son los interesados, que aplicaciones tendrán estos tratamientos, que cesiones están previstas, etc.
Protección desde el diseño y la puesta en marcha de la actividad. Eso implica que la puesta en marcha de una actividad profesional o empresarial, no puede llevarse a cabo sin haber establecido y analizado los datos que se van a gestionar.
Medidas de seguridad que se tendrán que analizar y monitorizar de forma constante. Una diferencia sustancial con el antiguo RLOPD es que no se especifican de forma concreta que medidas se tienen que implantar, con lo cual deja a decisión de cada entidad como y de que manera se van a proteger los datos, siempre que se cumplan unos mínimos.
Notificaciones de brechas de seguridad, que tendrán que ser comunicadas antes de 72 horas a las autoridades pertinentes.
Realizar una Evaluación de Impacto sobre los Datos Personales, previa a la puesta en marcha del tratamiento, en aquellos casos en que los datos puedan suponer un riesgo para los derechos y libertades de los usuarios.
Como se puede ver, el RGPD prevé que sea la empresa quien tome las riendas de la seguridad de la información y los datos personales, dándoles un papel muy activo que les obligará a estar constantemente supervisando la información y como se trata.
Se acabó el responder únicamente ante la incidencia, sino que será obligación de las entidades prever los riesgos y poner medidas correctoras antes de que sucedan.
Créditos foto: Foter.com