Según el apartado 2 del artículo 5 del RGPD, el responsable del tratamiento será responsable del cumplimiento de todos los principios del RGPD mencionados en el apartado 1 del artículo 5 y deberá poder demostrarlo. Esto incluye el principio de responsabilidad proactiva (véase, Principio de responsabilidad proactiva en la parte “Principios” de estas Directrices).
El principio de responsabilidad proactiva del RGPD se basa en el riesgo: cuanto mayor sea el riesgo del tratamiento de datos para los derechos y libertades fundamentales de los interesados, mayores serán las medidas necesarias para mitigar esos riesgos.[1] Este principio se sustenta en varios deberes que deben observarlos responsables del tratamiento de datos, entre los que se incluyen deberes de: transparencia (artículos 12 a 14); garantizar el ejercicio de los derechos de protección de datos (artículos 15 a 22); mantener registros de las operaciones de tratamiento de datos (artículo 30); notificar las posibles violaciones de datos a una autoridad nacional de control (artículos 33) y a los interesados (artículo 34); y, en los casos de mayor riesgo, contratar a un DPD y llevar a cabo una EIPD (artículo 35).
Lista de control[2]: Responsabilidad proactiva
El responsable del tratamiento ha documentado cómo se detectan, detienen y evitan los efectos indeseables del sistema o la herramienta. El responsable del tratamiento ha documentado todas las medidas de la organización, y las garantías aplicadas, para garantizar el cumplimiento de la normativa de protección de datos. Si los datos se utilizan para fines compatibles, el responsable ha documentado adecuadamente la realización de la prueba de compatibilidad. El responsable del tratamiento ha documentado todos las EIPD realizadas, las actividades llevadas a cabo por el correspondiente DPD y sus interacciones con las correspondientes APD (si procede) |
- Véanse los artículos 24, 25 y 32 del RGPD, los cuales requieren que los responsables del tratamiento tengan en consideración los “riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas física” al adoptar medidas específicas de protección de datos. ↑
- Esta lista de control ha sido elaborada siguiendo el documento: CEPD (2020) Directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia de COVID-19 Adoptadas el 21 de abril de 2020, disponible en: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_es.pdf ↑