La siguiente subsección describe cómo identificar las medidas técnicas y organizativas adecuadas a la hora de determinar los medios.
Mientras que la determinación de los fines del tratamiento especifica el “qué” debe lograrse con el tratamiento, la determinación de los medios especifica el “cómo” se logra este objetivo. En cada paso de la determinación de este “cómo”, deben tenerse en cuenta los principios y requisitos de la protección de datos.
La determinación de los medios puede considerarse el resultado de un plan de ejecución de la actividad de tratamiento. Este plan implica recursos, instrucciones y medidas técnicas y organizativas. Estas últimas están diseñadas para aplicar los principios de protección de datos. Para un análisis detallado de las medidas que aplican los distintos principios, véase la sección de las Directrices sobre los principios (véase la sección “Principios” dentro de la Parte II de estas Directrices).
Gestionar el proceso de determinación de los medios
La determinación de los medios suele ser un proceso importante en el que suelen intervenir multitud de personas, ámbitos de conocimiento, unidades organizativas o departamentos, y en el que incluso pueden participar consultores y expertos externos.
Por lo tanto, la principal medida organizativa (meta) consiste en establecer el proceso de determinación de los medios de manera que cumpla con la protección de datos por diseño. Esta medida se denomina “metamedida”, ya que está destinada a identificar las medidas que realmente aplican los principios de protección de datos. La metamedida debe asignar responsabilidades claras a la alta dirección:
- La alta dirección que representa legalmente al responsable del tratamiento tiene que controlar este proceso y ordenar que la protección de datos se tenga debidamente en cuenta en cada paso y decisión.
- La alta dirección debe ser capaz de diseñar si los medios determinados (es decir, el resultado de este proceso) cumplen realmente con los requisitos de protección de datos.
- Al final de este proceso, es responsabilidad de la alta dirección dar el visto bueno a los medios determinados y dar el visto bueno a las operaciones de tratamiento propiamente dichas (el tratamiento propiamente dicho).
Existen diferentes medidas (meta) organizativas posibles para conseguirlo. A continuación se enumeran algunos ejemplos:
- Cada paso o decisión tomada como parte de la determinación de los medios debe describir los requisitos de protección de datos pertinentes y cómo se han aplicado o satisfecho de otra manera.
- Si se opta[1][2] por un enfoque por etapas, cualquier transición de las mismas debe estar sujeta a la aprobación de los aspectos de protección de datos.
- Debe hacerse una designación clara de las personas responsables de determinar si se han cumplido los requisitos de protección de datos en las distintas etapas.
- Cuando se disponga de él, el responsable[3] de la protección de datos debe participar en el proceso.
- (La documentación (continua) de la consideración e incorporación de la protección de datos debe ser una parte integral del proceso. Esto sirve tanto para satisfacer el principio de responsabilidad (véase el art. 5(2) del RGPD) y como base para la determinación por parte de la alta dirección de su decisión de aprobar formalmente el resultado que se utilizará operativamente (es decir, un visto bueno para el tratamiento en sí).
El proceso de determinación de los medios necesita inevitablemente evaluar la eficacia de las distintas medidas (véase el debate sobre la eficacia en la sección 0 anterior). Para ello suele ser necesario realizar
- evaluaciones de riesgo y
- estudios del estado de la técnica o del mercado.
Tenga en cuenta que la herramienta formal prevista en el RGPD para evaluar la eficacia de las medidas de protección de datos es la Evaluación de Impacto de la Protección de Datos (EIPD, véase el artículo 35 del RGPD) (véase “EIPD”, Parte II, sección “Principales herramientas y acciones”). Tanto la evaluación de riesgos como la descripción de las medidas están contenidas en sus partes obligatorias. El RGPD sólo exige formalmente una Evaluación de Impacto relativa a la Protección de Datos (EIPD) en presencia de un riesgo elevado, pero puede utilizarse de manera informal dentro del proceso interno. Una EIPD es también una herramienta primordial para documentar el cumplimiento de la protección de datos por diseño.
Al menos las grandes organizaciones con varias actividades de procesamiento distintas pueden beneficiarse de la utilización de un enfoque más sistemático para determinar los medios. Esto puede incluir lo siguiente:
- El uso de políticas de protección de datos que son aplicables a múltiples actividades de tratamiento y que, por tanto, pueden aportar una economía de escala (véase el art. 24(2) delRGPD).
- La identificación y aplicación de códigos de conducta aplicables en todo el sector puede ahorrar esfuerzos y mejorar la calidad de la aplicación (véase el art. 24(3) delRGPD).
El resultado final de un proceso exitoso de determinación de los medios es una aprobación clara y documentada de los mismos y un visto bueno por parte de la alta dirección que representa al responsable del tratamiento. El visto bueno es necesario para que el responsable del tratamiento asuma la plena responsabilidad del mismo (véase el artículo 29 del RGPD). Como base adicional para la decisión de autorización, los responsables del tratamiento pueden solicitar una certificación formal con arreglo al artículo 42 del RGPD. 42 del RGPD (véase el art. 24(3) del RGPD). La certificación representa un certificado formal de cumplimiento del RGPD. Un visto bueno documentado es un requisito previo para el inicio de la fase operativa del tratamiento (el tratamiento propiamente dicho).
Evaluación de la eficacia de las medidas relativas a los principios de protección de datos
El proceso anterior debe adoptar un enfoque sistemático para aplicar todos los principios de protección de datos de forma sistemática a todas las decisiones sobre medios. En particular, cada principio debe aplicarse con medidas técnicas y organizativas. Hay que demostrar que estas medidas son eficaces en lo que respecta a
- “los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas que plantea el tratamiento”,
- “el coste de la aplicación”,
- “el estado de la técnica”, y
- “la naturaleza, el alcance, el contexto y los fines del tratamiento”
(véase la sección 0 anterior).
Cuando se evalúa el riesgo (véase el primer punto), un riesgo básico es que el principio se viole o se garantice insuficientemente. Este puede ser el caso de todos los interesados o de grupos especiales o minorías. Deben tenerse en cuenta los sujetos de datos vulnerables que posiblemente se hayan identificado durante la determinación de los fines (véase la sección 0).
Para evaluar el tercer aspecto de la eficacia, puede ser necesario realizar encuestas sobre el estado de la técnica.
Una forma de evaluar la eficacia de las medidas es utilizar un enfoque iterativo muy similar al utilizado para determinar los propósitos (véase Figura 6). En lugar de una versión de la especificación de los propósitos, se evalúa un plan de aplicación concreto. Este plan conlleva tanto recursos como instrucciones y medidas técnicas y organizativas ya previstas (véase la sección “Principios” de la Parte II de estas Directrices). En cada iteración, se evalúa la eficacia de las medidas y se mejora el plan en función de las deficiencias detectadas. El proceso iterativo termina entonces cuando se ha encontrado un plan de aplicación con medidas eficaces.
Para que este proceso sea sistemático, cada tarea que dé lugar a una decisión sobre los medios tiene que ser evaluada con respecto a todos los principios. En la sección 0 anterior ha proporcionado una visión general de las posibles tareas. Sin embargo, el desglose preciso de la determinación global en tareas depende de la naturaleza, el alcance, el contexto y los fines de la actividad de tratamiento. Por lo tanto, es necesario adaptar el desglose en tareas a la situación concreta.
- Véase, por ejemplo, https://en.wikipedia.org/wiki/Phase-gate_process (última visita: 13/7/2021). ↑
- Tenga en cuenta que las etapas no se limitan a la gestión “en cascada”, sino que también existen en los métodos ágiles, como el Proceso Unificado,Ágil véase http://www.ambysoft.com/unifiedprocess/aup11/html/phases.html (última visita el 13/7/2021). ↑
- Tenga en cuenta que el responsable de la protección de datos no es el responsable directo del cumplimiento, pero es el experto interno que probablemente esté más familiarizado con los requisitos del RGPD (véase también el art. 39(1)(a) a (c) del RGPD). ↑