Uno de los conceptos que vertebran el nuevo reglamento en materia de protección de datos es la Responsabilidad Activa o Accountability. El propio RGPD describe este concepto como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
Pasándolo a un terreno práctico significaría el análisis de los datos que se tratan en la empresa, la finalidad y el tipo de operaciones que se llevan a cabo para asegurarse de que se cumple la nueva normativa. Como determina la Agencia Española de Protección de Datos (AEPD): “este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.”
Tal y cómo se especifica en el Art. 28 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: “se determinarán la medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar, y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.” Es así como encontramos un decálogo de medidas y obligaciones que se deben aplicar para abalar el cumplimiento del reglamento que variaran también en función del tipo de empresa pero siempre teniendo como eje el cumplimiento de derechos y libertados de los interesados.
Según la AEPD las preguntas clave a responder para comprobar el nivel de riesgo serian:
¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluye el tratamiento la elaboración de perfiles?
¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, video vigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?
Por lo tanto, según el principio de la responsabilidad activa son las empresas las principales responsables de acreditar el debido cumplimiento del reglamento, es por eso que se recomienda una aplicación desde el Diseño y Por Defecto.