Punto de partida del nuevo Reglamento General de Protección de Datos

El nuevo reglamento implica que se tienen que tratar datos incorporando un elemento central: la llamada responsabilidad "proactiva" o responsabilidad "demostrada" (accountability). ¿Qué significa esto? Pues que venimos de un modelo reactivo donde la norma legal indicaba una "carta" de medidas a adoptar para proteger los datos -medidas de seguridad-, obligaciones documentales -documento de seguridad- y obligaciones de comunicación -registro de ficheros- sin evaluar la eficiencia del sistema, para pasar a un modelo en el que se tienen que valorar los tratamientos de datos y decidir como ejecutarlos.

Un ejemplo gráfico sería sustituir los carteles en un parque público donde se indica "Perros no" por unos nuevos que indiquen "que tu perro no moleste". Estos carteles implican que el propietario de un perro debe valorar el perfil de la mascota, si es necesario llevarlo atado, si ladra mucho, si puede evitar que ensucie, etc. y actuar en consecuencia, habiendo, eso sí, de argumentar y justificar la corrección de su comportamiento en caso de ser requerido.

Pero esta actitud de responsabilidad proactiva se debe poder acreditar, por eso se tiene que abordar la gestión de la protección de datos a partir del diseño de procesos, documentarlos, implantarlos y mantenerlos.