Una nueva forma de ver la protección de datos

El nuevo Reglamento Europeo cambia radicalmente el enfoque de la protección de datos que teníamos hasta el momento. A diferencia de los países de tradición anglosajona, en España cuesta asumir esta nueva forma de regulación que parte de la base de que el responsable debe aplicar las medidas oportunas y eficaces, y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento.

Ya no se determinan las medidas a aplicar como en la normativa anterior, sino que se deberán determinar teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas. Por este motivo será necesario realizar un análisis de riesgos previo.

El Sistema de Gestión de Protección de Datos se debe basar en los principios de protección de datos desde el diseño y por defecto. Esto implica que habrá que tener en consideración la privacidad de los interesados respecto de los cuales haya obtenido datos, durante toda “la vida del dato”, es decir, desde su obtención hasta su efectiva destrucción, pasando por todas las fases del tratamiento. El principal objetivo será garantizar que, por defecto, solo sean objeto de tratamiento los datos necesarios para cada uno de los fines específicos para los que fueron recabados.

La normativa recoge un tercer principio básico, el de responsabilidad proactiva: los responsables de tratamiento no tienen únicamente el deber de cumplir con la normativa, sino que además deben ser capaces de demostrarlo.

Si bien es cierto que esta nueva forma de regular nos da un margen mucho más amplio a la hora de determinar las medidas adecuadas para proteger los datos personales, también lo es que nos encontramos ante un escenario de mayor incertidumbre.