1. Análisis de Riesgo
El primer paso para determinar qué medidas deben adoptarse es la realización de un Análisis sobre los Riesgos que los tratamientos de datos que estamos haciendo o hemos planificado puedan significar para los derechos y libertades de los interesados.
2. Registro de actividades de tratamiento
Se establece la obligación de mantener registros de las operaciones de tratamiento de datos. Esta tarea es responsabilidad de los encargados y responsables y debe incluir al menos la siguiente información:
Datos de contacto del responsable y del delegado de protección de datos.
Finalidad del tratamiento.
Tipos de interesados y de datos personales tratados.
Datos sobre transferencias internacionales de datos
3. Protección de Datos desde el Diseño
Ahondando en el enfoque preventivo se requiere realizar un análisis preventivo de cómo afectaran a la protección de datos personales en el momento del diseño o cambio de un tratamiento de datos dentro de la organización.
4. Medidas de seguridad
Hay que establecer medidas de seguridad para evitar la sustracción, pérdida, deterioro o destrucción de los datos de carácter personal. Las medidas son importantes para demostrar que se han asegurado los datos de carácter personal en caso de una incidencia. Han de establecerse en base a los riesgos detectados y no solamente según el tipo o naturaleza de los datos. Las medidas de seguridad deberán ser la consecuencia de un análisis de riesgos previo que determine las medidas de seguridad adecuadas: El resultado del análisis de riesgos podrá recomendar las mismas medidas que antes, recomendar nuevas o suprimir algunas innecesarias.
5-Notificación de «violaciones de seguridad de los datos»
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Esta notificación debe:
Realizarse sin retraso antes de 72 horas desde que se tenga constancia.
Se debe mantener información documentada.
Debe contener una información mínima.
Indole y materia de la violacion:
Tipos de datos y de interesados afectados.
Medidas adoptadas para solucionarla.
Medidas paliativas de los perjuicios causados si procede.
Índole y materia de la violación:
Se deberá informar también a los interesados si la violación es de alto riesgo para sus derechos y libertades para que puedan tomar medidas para protegerse de sus consecuencias
6. Delegado de Protección de Datos
Se requiere de la figura de Delegado de Protección de Datos (DPD) cuando se trata de:
Organismos públicos.
Responsables que contemplen actividades de datos sobre.
Interesados a gran escala y/o
Datos sensibles a gran escala.
El Delegado de Protección de Datos (DPD) debe tener la cualificación necesaria en cuanto al conocimiento y la practica en la legislación de protección de datos.
Los datos de contacto del DPD deben comunicarse a las autoridades de protección de datos y hacerse públicos
Resumiendo:
Toda organización está obligada a acreditar cuatro aspectos claves: – Que ha evaluado, y en caso necesario, rediseñado adecuadamente sus tratamientos de datos personales. – Que las medidas de seguridad implementadas son adecuadas y eficaces. – Que se aplica una política interna en materia de privacidad con obligaciones claras, acciones concretas y se han designado responsables de su cumplimiento. – Que exige ese mismo cumplimiento responsable a sus encargados de tratamientos y cadena de subcontratación