El principio de responsabilidad proactiva no es un concepto nuevo en protección de datos. La directiva europea de 1995 ya hablaba de los conceptos de transparencia y tratamiento leal y requería que las organizaciones actuaran de un modo responsable en el procesamiento de datos personales.

Sin embargo, el Reglamento General de Protección de Datos (RGPD) vino a incluir de manera explícita el Principio de Responsabilidad Proactiva en su Artículo 24, que requiere que las empresas y organizaciones tomen las “medidas técnicas y organizativas apropiadas” de modo que puedan “demostrar” que el tratamiento es conforme con el RGPD.  Esto incluye la aplicación de “las oportunas políticas de protección de datos” y se le exige a la organización que mantenga esas medidas actualizadas cuando sea necesario.

Como resultado, muchas empresas y organizaciones están incorporando la responsabilidad proactiva y la gestión de la privacidad en sus procesos.

Los conceptos de privacidad por diseño y privacidad por defecto son la base del principio de responsabilidad proactiva. Estos dos conceptos clave actúan como motor del cambio de mentalidad que el RGPD quiere introducir en las organizaciones y empresas.

Las medidas específicas que una organización debe adoptar para demostrar el cumplimiento pueden variar mucho dependiendo principalmente del tipo de datos que se procesen, pero también del tamaño de la organización y su estructura. El principio de responsabilidad proactiva no responde pues a un modelo concreto y las medidas que se apliquen para ponerlo en práctica pueden variar mucho. Pero en términos generales, el principio de responsabilidad proactiva requiere que las empresas y organizaciones tomen total responsabilidad de la protección de los datos que procesen durante todo su ciclo de vida.

En términos prácticos, esto significa que la protección de datos debería ser incluida como un elemento más en el diseño de cualquier proceso empresarial, producto o diseño. Para ello, una organización o empresa que quiera seguir el principio de responsabilidad proactiva deberán implementar las siguientes prácticas:

  • Mantener registros de sus actividades de tratamiento. Esto incluye el propósito del tratamiento, la naturaleza de los datos, categorías de sujetos, transferencias a terceras partes, plazos para el borrado de datos y un listado las medidas técnicas y organizativas llevadas a cabo.
  • Asegurar una comunicación efectiva y transparente con los interesados acerca de sus datos personales y los derechos que pueden ejercer sobre ellos.
  • Realizar una auditoría exhaustiva de los formularios de suscripción, de solicitud, de las cláusulas de privacidad de su documentación.
  • Revisar la manera en que se recaba el consentimiento de los interesados para asegurarse de que es claro, preciso, proporcionado con libertad y fácilmente retirado.
  • Asegurarse de que los encargados de tratamiento proporcionan suficientes garantías de cumplimiento de las normas de protección de datos.
  • Nombrar un DPO en el caso de que proceda.
  • Identificar procesos que entrañen un alto riesgo y realizar una Evaluación de Impacto para determinar la naturaleza de los riesgos e implementar las medidas para hacerles frente.

El principio de responsabilidad proactiva en protección de datos no es algo que se pueda adoptar por un tiempo limitado y luego abandonar. Debe convertirse en una manera de ser y actuar a largo plazo que permee todas las capas de una organización.

Adoptar el principio de responsabilidad proactiva requiere un gran esfuerzo organizativo y cultural para una empresa. Sin embargo, la recompensa es que se estará dando un paso decisivo de cara a un cumplimiento total y sistemático del RGPD.