El Reglamento Europeo 2016/679 (RGPD) de protección de datos describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme a la ley. Esto requiere que todas las organizaciones identifiquen los tratamientos de datos que llevan a cabo y determinar sus características, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo con la finalidad de determinar y aplicar las medidas que el Reglamento de protección de datos establece, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos que realizan son conformes con el Reglamento y estar en condiciones de demostrarlo. Estas medidas pueden ser:
Medidas jurídicas (como el uso de elaboración de cláusulas informativas, la elaboración del Registro de las actividades de tratamiento, etc.);
Medidas organizativas (como el nombramiento de responsables para gestionar el área de privacidad, la elaboración de procedimientos para atender los derechos de los interesados o la gestión de brechas de seguridad, la formación al personal, etc.);
Medidas técnicas (realización de un análisis de riesgos, la instalación de antimalware, mecanismos de control de accesos, política de contraseñas, realización de copias de seguridad, etc.)
La responsabilidad proactiva en protección de datos es una actitud de atención a la protección de datos de carácter personal, que incluye una serie de actuaciones de prevención de riesgos, y una actuación proactiva en la protección de datos de carácter personal.
Se deberá determinar qué actividades son las más relevantes para proteger los datos personales que tratas en tú empresa. Dependiendo de tu actividad, deberás tener en cuenta las siguientes medidas:
Prevención de riesgos:
• Control (protección) físico del equipo (computadores, dispositivos, etc.) y de los datos.
• Control de accesos (controles de acceso, tarjetas de acceso, etc.)
• Protección de la información (protección de datos, confidencialidad de la información, privacidad de la información)
• Control de amenazas (prevención de intrusos, malware, virus, etc.)
• Control de los riesgos de la seguridad (controles de seguridad física, contables, lógica, etc.)
• Control de la protección, control de la integridad de los datos, control de seguridad, control de uso de los datos.