Académique Documents
Professionnel Documents
Culture Documents
1
Consideran
Considerando 85:
85 Si no se toman a tiempo medidas adecuadas, las violaciones de la seguridad de
los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las
personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos,
discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la
seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto
profesional, o cualquier otro perjuicio económico o social significativo para la persona física en
cuestión (…)
2
Considerando 84:
84 A fin de mejorar el cumplimiento del presente Reglamento en aquellos casos
en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los
derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la
realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en
Nuevas notificaciones de violaciones de seguridad
Los análisis de riesgos y la evaluación de impacto
a su finalidad; una evaluación de los riesgos para los derechos y libertades de los
interesados, y las medidas previstas para afrontar los riesgos, incluidas garantías,
medidas de seguridad y mecanismos que garanticen la protección de datos
personales, y a demostrar la conformidad con el RGPD, teniendo en cuenta los
derechos e intereses legítimos de los interesados y de otras personas afectadas.
También se tendrá en cuenta el cumplimiento de los códigos de conducta
aprobados por los responsables o encargados correspondientes.
Además de lo anterior, cuando proceda, el responsable recabará la opinión de los
interesados o de sus representantes en relación con el tratamiento previsto, sin
perjuicio de la protección de intereses públicos o comerciales o de la seguridad de
las operaciones de tratamiento.
Cuando el tratamiento tenga su base jurídica en el Derecho de la Unión o en el
Derecho del Estado miembro que se aplique al responsable del tratamiento, y ya
se haya realizado una evaluación de impacto relativa a la protección de datos
como parte de una evaluación de impacto general en el contexto de la adopción
de dicha base jurídica, no será necesario realizar la evaluación de impacto excepto
si los Estados miembros consideran necesario proceder a dicha evaluación previa
a las actividades de tratamiento.
Finalmente, visto todo lo anterior, se deberá tener en cuenta que, una vez
realizada la evaluación de impacto, cuando sea necesario, el responsable
examinará si el tratamiento es conforme con la evaluación de impacto relativa a la
protección de datos, al menos cuando exista un cambio del riesgo que representen
las operaciones de tratamiento.
Y con relación a la llamada “Consulta
Consulta Previa”
Previa según lo establecido en el artículo 36
el responsable deberá consultar a la autoridad de control antes de proceder al
tratamiento de datos en los casos en que una Evaluación de Impacto relativa a la
protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el
responsable no toma medidas para mitigarlo.
Además, los casos que menciona el artículo 36 como supuestos de obligada
consulta se dan durante la elaboración de toda propuesta de medida legislativa
que haya de adoptar un Parlamento nacional, o de una medida reglamentaria
basada en dicha medida legislativa, que se refiera al tratamiento. Y, además de la
consulta a la autoridad de control, se podrá exigir la necesidad de recabar la
autorización previa en relación con un tratamiento por un responsable, en el
ejercicio de una misión realizada en interés público y, en particular el tratamiento
en relación con la protección social y la salud pública.
En cuanto al contenido de la consulta, según el RGPD, cuando consulte a la
autoridad de control, el responsable del tratamiento le facilitará la información
relativa a las responsabilidades respectivas del responsable, los corresponsables y
los encargados implicados en el tratamiento, en particular en caso de tratamiento
Nuevas notificaciones de violaciones de seguridad
Los análisis de riesgos y la evaluación de impacto
dentro de un grupo empresarial; los fines y medios del tratamiento previsto; las
medidas y garantías establecidas para proteger los derechos y libertades de los
interesados de conformidad con el RGPD; en su caso, los datos de contacto del
delegado de protección de datos; la evaluación de impacto relativa a la protección
de datos y cualquier otra información que solicite la autoridad de control.
Así, cuando la autoridad de control considere que el tratamiento previsto podría
infringir el RGPD, en particular cuando el responsable no haya identificado o
mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de
ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable,
y en su caso al encargado. Dicho plazo podrá prorrogarse seis semanas, en función
de la complejidad del tratamiento previsto.
Por último, es importante mencionar dos cuestiones más relacionadas con la
evaluación de impacto y la consulta previa.
Por un lado, que entre las funciones que el RGPD establece para el delegado de
protección de datos se encuentra la de ofrecer el asesoramiento que se le solicite
acerca de la evaluación de impacto relativa a la protección de datos y supervisar
su aplicación de conformidad con el RGPD así como cooperar con la autoridad de
control y actuar como punto de contacto de la autoridad de control para
cuestiones relativas al tratamiento, incluida la consulta previa, además de realizar
consultas, en su caso, sobre cualquier otro asunto.
Por otro lado, que, con relación a las relaciones entre el responsable del
tratamiento y el encargado del tratamiento, el RGPD impone al encargado del
tratamiento la obligación de asistir al responsable cuando sea necesario y a
petición suya, a fin de asegurar que se cumplen las obligaciones que se derivan de
la realización de las evaluaciones de impacto relativas a la protección de datos y
de la consulta previa a la autoridad de control.
Nuevas notificaciones de violaciones de seguridad
El registro de actividades de tratamiento
Registro de actividades
El Reglamento se encarga en su art. 30 de recoger la obligación del registro de los
tratamientos para toda empresa de 250 empleados o más, salvo que el tratamiento
que realice pueda entrañar un riesgo para los derechos y libertades de los
interesados que no sea ocasional o incluya categorías especiales de datos
personales o datos personales relativos a condenas e infracciones penales, en
cuyo caso se aplicará a todas. Estos registros constarán siempre por escrito,
aunque sea en formato electrónico.
Para ello, obliga a que cada responsable y, en su caso, su representante, lleve un
registro de las actividades de tratamiento efectuadas bajo su responsabilidad.
Dicho registro deberá contener:
contener los datos de contacto del responsable o
responsables, su representante y del delegado de protección de datos (si los hay);
los fines del tratamiento; una descripción de las categorías de interesados y de las
categorías de datos personales; las categorías de destinatarios a quienes se
comunicarán los datos personales; en su caso, las transferencias de datos
personales a un tercer país o una organización internacional y la acreditación de
las garantías adecuadas en los casos en que sea necesario; cuando sea posible, los
plazos previstos para la supresión de las diferentes categorías de datos y una
descripción general de las medidas técnicas y organizativas de seguridad.
Esta obligación afectará también al encargado y, en su caso, al representante del
encargado. El registro se llevará a cabo por cuenta del responsable y contendrá:
el nombre y los datos de contacto del encargado o encargados y de cada
responsable por cuenta del cual actúe el encargado, y, en su caso, del
representante del responsable o del encargado, y del delegado de protección de
datos; las categorías de tratamientos efectuados por cuenta de cada responsable;
en su caso, las transferencias de datos personales a un tercer país u organización
internacional, incluida la identificación de dicho tercer país u organización
internacional y, cuando sea preciso, la documentación de las garantías adecuadas
y, por último, cuando sea posible, una descripción general de las medidas técnicas
y organizativas de seguridad.
Este registro quedará a disposición de la autoridad de control que lo solicite.
Nuevas notificaciones de violaciones de seguridad
La figura del delegado de protección de datos
1
Comisión Europea, Commission Staff Working Paper, Impact Assesment, Accompanying the
Document Regulation of the European Parliament and of the Council on the Protection of
Individuals with Regard to the Processing of Personal Data and on the Free Movement of such
Data (General Data Protection Regulation) and Directive of the European Parliament and of the
Council on the Protection of Individuals with Regard to the Processing of Personal Data by
Competent Authorities for the Purposes of Prevention, Investigation, Detection or Prosecution
of Criminal Offences Or the Execution of Criminal Penalties, and the Free Movement of such Data,
SEC (2012) 72 Final, Bruselas, 25 de enero de 2012. Disponible, en inglés, en http://eur-
lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52012SC0072&qid=1465747910049&from=ES
Nuevas notificaciones de violaciones de seguridad
La figura del delegado de protección de datos
REGISTRO DE ACTIVIDADES
El Reglamento se encarga en su art. 30 de recoger la obligación del registro de los tratamientos para toda
empresa de 250 empleados o más, salvo que el tratamiento que realice pueda entrañar un riesgo para los
derechos y libertades de los interesados que no sea ocasional o incluya categorías especiales de datos
personales o datos personales relativos a condenas e infracciones penales, en cuyo caso se aplicará a todas.
Estos registros constarán siempre por escrito, aunque sea en formato electrónico.
Para ello, obliga a que cada responsable y, en su caso, su representante, lleve un registro de las actividades
de tratamiento efectuadas bajo su responsabilidad.