El Reglamento Europeo de Protección de datos introduce nuevas obligaciones relacionadas con la adopción de políticas internas y medidas técnicas y organizativas apropiadas, tanto en el momento en el que se determinen los medios de tratamiento, como en el momento propio del tratamiento de los datos.
Así, las entidades que traten datos personales deberán elaborar una estrategia, previa al tratamiento de los datos, para diseñar las medidas que sea necesario adoptar en función de la tipología y volumen de datos que efectivamente tratan (Privacy by design). Un ejemplo de medidas a adoptar son la seudonimización de los datos personales, o la minimización de datos, es decir, reducir al máximo el tratamiento.
Estas medidas deberán garantizar que, por defecto (Privacy by default), sólo sean objeto de tratamiento los datos personales exclusivamente necesarios para cada uno de los fines específicos del tratamiento, aplicando la misma prevención en cuanto al volumen de datos, extensión de su tratamiento, plazo de conservación y accesibilidad. Asimismo deben velar porque los datos no sean accesibles sin la intervención del afectado a un número indeterminado de personas físicas.
Además, conforme a los principios de accountability y transparencia, estas medidas, deben ser implementadas de forma tal que permitan la acreditación de su cumplimiento.
La cuantía de la sanción por incumplimiento puede ser ponderada en atención a la gravedad, causas atenuantes o conducta del infractor, y puede alcanzar el mayor de los siguientes importes: 10.000.000 € o el 2% del volumen mundial total anual del ejercicio financiero anterior.
De esta forma, se exige un ejercicio previo de análisis de identificación de riesgos en cada nuevo lanzamiento de productos o servicios que implique un acceso a datos personales, para determinar su alcance, el impacto que puede suponer y, establecer medidas necesarias antes de que se produzcan.
El nuevo Reglamento General de Protección de Datos entró en vigor a los 20 días de su publicación en el Diario Oficial de la UE, efectuado el pasado 4 de mayo y sus disposiciones serán de aplicación directa en todos los Estados miembros dos años después, el 25 de mayo de 2018.
Últimos comentarios