Una de las principales novedades y concepto esencial que presenta el Reglamento General de Protección de Datos, es el principio de responsabilidad proactiva (accountability). Este principio se define como la necesidad (obligatoriedad) de que el responsable del tratamiento de datos aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de datos personales es conforme con el Reglamento. Es decir, no basta con cumplir con la normativa de protección de datos, también hay que poder demostrar que se está cumpliendo con la normativa.
Este principio viene recogido en el artículo 5 apartado 2 del RGPD: “El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)”. El Reglamento exige que haya responsabilidad proactiva tanto en el cumplimiento como en su demostración. Para ello, el responsable del tratamiento de datos deberá establecer procedimientos a través de los cuales:
-
Pueda garantizar la aplicación de la normativa de protección de datos.
-
Pueda demostrar frente a terceros la efectiva aplicación y el cumplimiento de la normativa de protección de datos.
De cara a cumplir con el principio de responsabilidad proactiva, el RGPD desarrolla una serie de medidas de obligado cumplimiento para el responsable del tratamiento de datos (y en ocasiones del encargado) mediante las cuales se puede demostrar este cumplimiento de normativa:
-
Nueva figura del Delegado de Protección de Datos (DPO)
-
Medidas de protección de datos desde el diseño y por defecto
-
Registro de actividades de tratamiento
-
Análisis de riesgo
-
Medidas de seguridad
-
Evaluación de impacto en la protección de datos
-
Notificación de quiebras por seguridad
Estas medidas se deben complementar con los derechos de los usuarios respecto al tratamiento de sus datos personales (incluyendo el derecho de información), las relaciones entre el responsable y el encargado de tratamiento de las imágenes, su conservación, la comunicación de imágenes a terceros así como la legitimación para el tratamiento de los datos personales.
Mediante la ejecución de estas medidas (no todas son obligatorias para todas las entidades), se garantiza la capacidad del responsable del tratamiento de datos de demostrar y proporcionar evidencias del cumplimiento de protección de datos.
El principio de responsabilidad proactiva, exige a las organizaciones que analicen qué datos tratan, con qué finalidad lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de esta información deben determinar de forma expresa la forma en que aplicarán las medidas que el Reglamento General de Protección de Datos exige, asegurándose de que esas medidas y procedimientos, son los adecuados para cumplir con la protección de datos y de que pueden demostrarlo ante los interesados y ante la Agencia Española de Protección de Datos.
Resumiendo, este principio de proactividad exige una actitud consciente, diligente y proactiva por parte de las organizaciones (incluidas Comunidades de Propietarios) frente a todos los tratamientos de datos personales que lleven a cabo.