Como segunda entrega de la serie de artículos sobre protección de datos personales en los bufetes de abogados hoy les introduciré al concepto de la responsabilidad activa y a algunos de los desafíos para implantar las medidas de protección de datos de carácter personal en el bufete.
Qué es la responsabilidad activa
El nuevo “REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” (Reglamento general de protección de datos), introduce como novedad el principio de responsabilidad activa.
Las empresas y profesionales deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar a posteriori.
Resultan muy importantes los términos “prevención” y “asegurar razonablemente”. Por ello el Reglamento introduce una serie de medidas cuya obligatoriedad y modo de aplicación debe analizarse caso por caso en base a:
- El estado de la técnica.
- La naturaleza, contexto, ámbito y fines del tratamiento.
- El coste de la aplicación de las medidas.
- Los riesgos inherentes al tratamiento y la probabilidad de causar perjuicios a los derechos y libertades de las personas físicas.
- La cantidad de datos personales recogidos.
- La duración en el tiempo del tratamiento de dichos datos y su conservación.
- Grado de accesibilidad de los datos.
Desafíos de la responsabilidad activa
Las medidas a las que se aludían anteriormente pueden suponer todo un desafío para los despachos de abogados. Algunas de ellas son:
Protección de datos desde el diseño:
Consiste en la implantación de medidas y procesos que permitan acreditar el cumplimiento de la normativa en materia de protección de datos desde el mismo momento de la concepción de un nuevo producto o servicio.
Esta medida resulta útil para el despacho no sólo por el cumplimiento normativo, sino por permitirnos identificar, corregir o mitigar posibles problemas desde una fase muy temprana, y por lo tanto, con el menor coste posible.
Protección de datos por defecto:
Consiste en garantizar por defecto que únicamente sean objeto de tratamiento los datos personales necesarios para el cumplimiento de las finalidades previstas y que éstos sean únicamente accesibles por el número de personas indispensable para llevar a cabo la acción deseada.
Esta medida resulta muy útil para el ahorro en costes de almacenamiento y gestión de datos, dado que cuanta más información recojamos en el despacho, mayor será su coste de gestión. Así mismo, estas medidas nos ayudarán también a plantear desde fases tempranas la seguridad de la información, restringiendo el acceso a los datos.
Medidas de seguridad:
Engloban una serie de medidas y procesos destinados a evitar la sustracción, pérdida, deterioro o destrucción de datos de carácter personal tratados en el despacho. Algunos de estos procesos son:
- Identificación y Autenticación de Usuarios.
- Control de acceso.
- Administración de Usuarios.
- Ficheros temporales.
- Separación de los recursos de desarrollo y producción.
- Gestión de Soportes y Documentos.
- Desechado y reutilización de soportes.
- Almacenamiento de ficheros no automatizados.
- Custodia de soportes.
- Criterios de archivo.
- Seguridad en redes de comunicación.
- Copias de respaldo.
- Régimen de trabajo fuera de los locales de la ubicación del fichero.
- Traslado de documentación.
Este tipo de medidas serán fundamentales para acreditar que se han asegurado razonablemente los datos de carácter personal en caso de que exista una incidencia.
Mantenimiento de un registro de tratamientos:
Consiste en la llevanza de un registro de los distintos tratamientos realizados sobre los datos de carácter personal gestionados por el despacho, incluyendo la persona física o jurídica responsable de dicho tratamiento, su objeto y el horizonte temporal en el que se ha llevado a cabo.
Este tipo de medidas son fundamentales para delimitar la responsabilidad en caso de incidencia, pudiendo acreditar fácilmente dónde ha podido originarse.
Realización de evaluaciones de impacto sobre la protección de datos:
Consiste en diversas y medidas y procesos conducentes a determinar el impacto de un incidente relativo a los datos de carácter personal gestionados en el despacho. El objeto no es otro que delimitar la gravedad de los perjuicios que se puedan ocasionar a los derechos y libertades de las personas físicas afectadas.
Este proceso es muy importante, dado que el grado de obligatoriedad en la implementación de todas estas medidas que les estoy relatando dependerá en buena medida de los riesgos inherentes al tratamiento de los datos.
Nombramiento de un delegado de protección de datos:
El delegado de protección de datos es la persona especialista en el ámbito de la protección de datos de carácter personal cuyas funciones son:
- Informar y asesorar a los responsables y encargados del tratamiento de datos personales (y a sus empleados) de las obligaciones que tienen, derivadas tanto de la legislación europea como de la española.
- Supervisar el cumplimiento de las medidas y procesos conducentes al cumplimiento de dicha legislación y de la política del despacho: asignación de responsabilidades, concienciación y formación del personal, auditorías, etc.
- Ofrecer el asesoramiento que se le solicite para hacer la evaluación de impacto de un tratamiento de datos personales, cuando entrañe un alto riesgo para los derechos y libertades de las personas físicas, y supervisar luego su aplicación.
- Deber de cooperar con las Agencias de Protección de Datos en aquello que se le requiera.
- Actuar como “punto de contacto” de las autoridades de control para cualquier consulta sobre el tratamiento de datos personales a realizar por el despacho.
El delegado de protección de datos será normalmente un profesional externo al despacho, con amplios conocimientos técnicos y prácticos en la gestión de datos, en el que el despacho descargará buena parte de la responsabilidad del día a día en materia de protección de datos de carácter personal.
Notificación de violaciones de la seguridad de los datos:
Se tratará de un conjunto de procesos destinados a la detección de violaciones de seguridad de la información y a su comunicación tanto a los responsables del despacho como a las personas físicas susceptibles de verse afectadas e incluso, según el caso, a las autoridades competentes.
Con este tipo de procesos limitaremos en buena medida la responsabilidad del despacho, acreditando que existen las medidas de alerta adecuadas.
Recomendación
La primera recomendación que le hago, querido lector, es la de que no se agobie. Pese a la complejidad inicial que puedan suponer este tipo de medidas se trata de ser metódicos y constantes desde el inicio.
Como segunda recomendación, cuente desde el inicio con ayuda de profesionales cualificados que le ayuden en las distintas fases que tendrá que afrontar. Aunque sólo sea para que le encaminen en la dirección correcta, se ahorrará muchos disgustos.
Les espero en la próxima entrega: “Deber de secreto y responsabilidad del despacho”
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación