Una de las principales novedades del nuevo reglamento europeo de protección de datos, es la introducción del concepto de responsabilidad activa. Este principio supone, en la práctica una obligación, tanto para las organizaciones como para los profesionales, de adoptar una actitud proactiva en la realización de las actividades encaminadas al tratamiento de datos personales.
Hasta ahora, podríamos interpretar que una actuación reactiva podría permitirnos cumplir con los preceptos legales. Las consecuencias que podrían tener las incidencias en el ámbito del tratamiento de datos, dependerían de la respuesta que diéramos para resolverla. Eso, que podría ser interpretable, deja de serlo a partir de la entrada en aplicación del nuevo reglamento europeo el pasado 25 de mayo.
Ahora, tendremos que estar en todo momento en disposición de demostrar a las autoridades de control, en nuestro caso la Agencia Española de Protección de Datos (AEPD), que hemos tomado las medidas oportunas para evitar tener problemas con el tratamiento de datos, es decir: tenemos que estar en condiciones de demostrar que nos anticipamos a los problemas que pudrían producirse con los datos personales sobre los que realizamos tratamiento.
No se trata de evitar que las cosas sucedan o que habremos fracasado, y seríamos sancionados si ocurren, sino de centrarnos en la prevención, y tratar de asegurar, hasta donde nos sea posible, los datos personales que tenemos que manejar en nuestra actividad.
El reglamento propone que esta proactividad comience a hacerse visible desde el diseño de nuestro sistema para el tratamiento de datos personales, debemos pensar en la seguridad de los datos personales de nuestros clientes, proveedores, empleados, colaboradores,… desde el momento en que nos planteemos que tenemos que recogerlos.
Las medidas que tendremos que poner en marcha van a depender de la naturaleza de los datos y de nuestro contexto profesional, pero, sobre todo, de nuestro ámbito de actuación como organización o como profesionales y de los fines a los que estén destinados los datos a tratar.
Nada de esto debería asustarnos. Deberíamos interpretar, como siempre, la pequeña crisis que ha supuesto la entrada en aplicación del RGPD como una oportunidad para actualizar nuestros procedimientos de trabajo y tomar el control de una actividad tan importante, de cara a nuestra imagen profesional, como es una buena gestión de los datos personales de las distintas partes implicadas en nuestra actividad profesional.
Os dejo, como siempre, unos enlaces para obtener más información sobre el tema:
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- ¿Qué actuaciones debo realizar para adecuarme al RGPD? Preguntas frecuentes a la AEPD.
- Artículo 5 RGPD: principios relativos al tratamiento.
En resumen, de lo que se trata es de poder acreditar, llegado el momento, que se han asegurado adecuadamente los datos de carácter personal desde el principio. Ni más, ni menos.