Medidas técnicas y organizativas relacionadas
Home » RGPD » Principios » Limitación de la finalidad » Medidas técnicas y organizativas relacionadas

A continuación, se ofrecen ejemplos de medidas técnicas y organizativas en apoyo de la limitación de objetivos:

  • Una especificación clara y precisa de los fines iniciales y potencialmente compatibles es un requisito previo para cualquier razonamiento sobre la separación de fines.
  • Entender la protección de datos como un proceso que incluye revisiones periódicas durante todo el ciclo de vida de la actividad de tratamiento es importante para evitar el tratamiento de datos con fines incompatibles, por ejemplo, debido a la desviación de funciones. Obsérvese que la revisión periódica es obligatoria en el contexto de la protección de datos desde el diseño (artículo 25, apartado 1, del RGPD), las evaluaciones de impacto de la protección de datos (artículo 35, apartado 11, del RGPD) y la seguridad (artículo 32, apartado 1, letra d), del RGPD).
  • La verificación de la compatibilidad de los fines según el art. 6(4) puede considerarse una medida organizativa en apoyo de la limitación de los fines.
  • El análisis de cómo el personal autorizado puede utilizar los datos personales para otros fines es otra medida organizativa. Este análisis tiene como objetivo identificar posibles motivaciones, conflictos de intereses (como que el personal procese datos de familiares y conocidos) y medidas para prevenir [1]o mitigar estas situaciones (por ejemplo, la posibilidad de que un empleado pueda señalar un conflicto de intereses para un caso asignado y pasarlo a otro empleado sin conflicto de intereses).
  • Otra medida es el análisis de las motivaciones que pueden tener los hackers externos para obtener los datos con otros fines. Esta es una parte importante de la evaluación de riesgos y un requisito previo para aplicar las salvaguardias adecuadas en apoyo de la limitación de la finalidad.
  • Cualquier medida organizativa o técnica para aplicar la separación entre las distintas actividades de tratamiento llevadas a cabo por el mismo responsable del tratamiento es un apoyo directo a la limitación de la finalidad.
  • Cualquier medida (como el cifrado) en apoyo de la confidencialidad impide que partes no autorizadas puedan utilizar los datos con fines ilegítimos.
  • Cualquier medida que garantice que el personal autorizado actúe únicamente bajo las instrucciones y según las indicaciones del responsable del tratamiento (véase el art. 29 y 32 (4) del RGPD) garantiza que el tratamiento no va más allá de lo necesario para lograr los fines especificados.
  • Una medida secundaria que mitiga los daños tras una filtración es la seudonimización. La posibilidad drásticamente reducida de identificar a los sujetos de los datos y de vincularlos a otros conjuntos de datos puede, en muchos casos, impedir eficazmente el uso de los datos filtrados para otros fines.

 

 

  1. Otro ejemplo para prevenir los conflictos de intereses es cuando una gran empresa procesa en oficinas alejadas de los interesados afectados para reducir la probabilidad de que los empleados procesen datos de conocidos.

 

Ir al contenido