Medidas técnicas y organizativas relacionadas
Home » RGPD » Principios » Legalidad, equidad y transparencia » Medidas técnicas y organizativas relacionadas

A continuación, se ofrecen ejemplos de medidas para aplicar diferentes aspectos del principio.

Legitimidad y legalidad

  • Al menos cuando la comprobación y demostración de la legitimidad requiere pasos formales, éstos pueden considerarse medidas organizativas de apoyo a la legitimidad. Un ejemplo destacado es la solicitud y aprobación de determinadas investigaciones médicas a través del Comité de Ética de Investigación competente.
  • Un requisito previo para evaluar tanto la legitimidad como la legalidad es la especificación de fines explícitos. Esto en sí mismo puede considerarse una medida, en particular cuando va acompañado de consideraciones sobre cómo hacer que la especificación sea lo más específica y estrecha posible. En este caso, también dicho análisis puede considerarse parte de esta medida.
  • La principal medida en apoyo de la legalidad es identificar una o varias bases legales del Art. 6(1) delRGPD. En muchos casos, una actividad de tratamiento utiliza múltiples bases jurídicas. Un caso[1] de uso publicado por el Data Privacy Vocabulary Community Group del W3C ofrece un ejemplo fácilmente accesible.
  • Cuando se ha elegido como base jurídica el art. 6(1)(a) del RGPD, es decir, el consentimiento, se ha elegido como base jurídica, una medida importante es un análisis que justifique que se han cumplido los estrictos requisitos del RGPD para el consentimiento (libremente dado e informado). Esto puede incluir, por ejemplo, la comprobación de si la información proporcionada como base del consentimiento es realmente comprensible para los interesados y si la retirada del consentimiento es realmente tan fácil como darlo.
    • Además, cuando los niños u otros sujetos de datos vulnerables se vean afectados, este análisis debe prestar especial atención a las salvaguardias relativas al art. 7 del RGPD.
  • En los casos en que se haya elegido como base jurídica el art. 6(1)(f) del RGPD, es decir, el consentimiento legítimo del responsable del tratamiento, las medidas incluyen una especificación precisa de los intereses legítimos, así como una prueba de equilibrio (véase la sección del mismo nombre en “Principales herramientas y acciones” dentro de la Parte II de estas Directrices) para comprobar que éstos prevalecen efectivamente sobre los intereses, derechos y libertades de los interesados.
  • Con cualquier base jurídica, cuando los responsables del tratamiento tengan la intención de seguir tratando determinados datos, más allá de los fines iniciales, para fines compatibles (véase el art. 5(1)(b) RGPD), el análisis basado en los criterios del Art. 6(4) para demostrar que estos fines adicionales son realmente compatibles, es una medida que demuestra la legalidad de dicho tratamiento.
  • Si se procesan categorías especiales de datos (es decir, datos sensibles) o datos relativos a condenas penales, deben tomarse otras medidas además de las relacionadas con el Art. 6(1) delRGPD. En particular, en el primer caso, la condición del Art. 9(2) RGPD, por la que se aplica una excepción a la prohibición de procesar datos sensibles, debe encontrarse y documentarse. En el segundo caso, las condiciones que hacen que el procesamiento sea permisible de acuerdo con el Art. 10 del RGPD se aplicarán y documentarán.

Equidad

  • Como se ha razonado anteriormente, todos los requisitos del RGPD pueden considerarse una cuestión de equidad; sin embargo, varios derechos de los interesados se presentaron como especialmente relevantes. Las principales medidas de apoyo a la equidad son, por tanto, una aplicación adecuada de los derechos de los interesados.

Transparencia

  • La aplicación de los requisitos del art. 12 a 14 del RGPD para proporcionar información adecuada y fácilmente comprensible a los interesados es una medida primordial para apoyar la transparencia.
  • Lo mismo ocurre con los documentos preparados para informar a las autoridades de control, en particular los registros de tratamiento (según el artículo 30 del RGPD) y una evaluación de impacto de la protección de datos (según el artículo 35 del RGPD). Otra medida es la publicación parcial de esta evaluación de impacto.
  • Cualquier análisis que evalúe la eficacia y la accesibilidad de la información proporcionada -posiblemente con respecto a categorías especiales de sujetos de datos, como los niños- puede considerarse una medida en sí misma.
  • El nombramiento de un responsable de la protección de datos puede considerarse, en parte, una medida para aumentar la transparencia, tanto hacia los interesados como hacia la autoridad de control.

 

 

  1. Bruegger, Schlehahn & Zwingelberg, Data Privacy Vocabulary Community Group, Data Protection Aspects of Online Shopping – A Use Case, https://www.w3.org/community/dpvcg/2019/12/12/data-protection-aspects-of-online-shopping-a-use-case/ (Última visita: 25/05/2020).

 

Ir al contenido