¿Cuándo se deben adoptar medidas?
El Reglamento europeo de protección de datos obliga a la aplicación de medidas siempre que pueda existir un riesgo en los tratamiento de los datos personales de clientes y usuarios para los derechos de los mismos.
Como responsable de los ficheros o del tratamiento, incluso como encargado del mismo, debes evaluar los riesgos que el tratamiento que vas a realizar puede afectar a los derechos de los clientes o usuarios, sobre todo en el ámbito de la protección de sus datos y aplicar medidas técnicas u organizativas necesarias para evitar el riesgo.
¿Cuáles son las obligaciones?
Como responsable del fichero o del tratamiento, estarás obligado a realizar una valoración de los riesgos en los tratamientos que realices para establecer cuáles son las medidas correctas. Deberás tener en cuenta:
los tipos de tratamiento que realizas
la naturaleza de los datos
el número de interesados afectados
el número y variedad de los tratamientos
¿Qué ocurre si eres una empresa o entidad pequeña?
En estos casos, y si tus tratamientos de datos no son complejos, tu análisis podría ser el resultado de analizar y pensar qué implicaciones podrían tener tus tratamientos en los derechos de clientes o usuarios, si bien, deberás documentarlo mínimamente.
Para evaluar el riesgo deberás responder a estas preguntas:
¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluyes en tu tratamiento la elaboración de perfiles personales?
¿Cruzas los datos obtenidos de los clientes o usuarios con otros de otras fuentes?
¿Vas a utilizar los datos obtenidos para otras finalidades no previstas, ni consentidas?
¿Estás tratando muchos datos con técnicas de análisis masivo (big data)?
¿Utilizas técnicas que invaden la privacidad de los clientes o usuarios, como la geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las cosas?
Si las respuestas a estas preguntas fueran negativas, tú o tu empresa, podríais estar dentro de la categoría de aquellas empresas u organizaciones que no tienen un elevado nivel de riesgo y por lo tanto, no estarías obligado a llevar a cabo las medidas concretas aplicables a esos casos.
¿Qué ocurre si eres una empresa grande?
En los casos de empresas u entidades de cierto tamaño, necesariamente estaréis obligados a realizar la correspondiente evaluación de riesgos de los tratamientos de datos.
¿Qué ocurre si no estás establecido en la Unión Europea?
El Reglamento General de Protección de Datos se aplica al tratamiento de datos personales de clientes o usuarios que residan en la Unión por parte de un responsable o encargado no establecido, cuando las actividades de tratamiento estén relacionadas con:
la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago
el control de su comportamiento, en la medida en que este tenga lugar en la Unión
En estos casos, el encargado del fichero o tratamiento estará obligado a nombrar un representante en la Unión Europea, salvo que el tratamiento de datos sea ocasional, y no sean datos sensibles, y tampoco cuando el responsable sea una autoridad u organismo público.
En estos casos, podrá la Agencia Española de Protección de datos o algún organismo autonómico al respecto, imponer en España, a tu representante solidariamente contigo,las medidas que sean necesarias.
En ese caso, tu representante estaría habilitado para exigirte a tí esas responsabilidades. Además tú y tu representante seréis responsables de las posibles indemnizaciones que pudiera solicitar un cliente o usuario por algún tipo de infracción a sus derechos.
Tiempo estimado de lectura: 2 min
Visitas: 12