🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones
Llámanos al +(33)4 28 70 91 81
Acceso

RGPD: Comprender todo sobre la rendición de cuentas

Bienvenida RGPD: Comprender todo sobre la rendición de cuentas

Cuando se trata del RGPD, a menudo se oye hablar del principio de rendición de cuentas. Este término puede parecer complejo, es una noción que parece bastante vaga... Responsabilidad se traduce literalmente al francés como responsabilidad, en otras palabras, es rendición de cuentas.

Pero, ¿qué significa rendición de cuentas en el sentido del Reglamento General de Protección de Datos (RGPD)??

Siéntate cómodamente con tu té y te lo explicaremos todo en 5 minutos! ☕️

La respuesta a la encuesta ¿El principio de rendición de cuentas tiene como objetivo responsabilizar a las partes interesadas en el procesamiento de datos? "

Para presentarles el tema, les ofrecimos una encuesta el 8 de marzo en nuestra página de LinkedIn, preguntándole si el principio de rendición de cuentas tiene como objetivo responsabilizar a las partes interesadas en el procesamiento de datos. ¡Bien hecho! De 109 votantes, el 97% tiene "Sí ✅". De hecho, este principio permite responsabilizar a las partes interesadas en el procesamiento de datos.

Comprender el principio de rendición de cuentas

Según el RGPD, el principio de rendición de cuentas obliga a los actores del procesamiento de datos:

  • Implementar todas las medidas necesarias para garantizar su cumplimiento,
  • Y demostrar que estas medidas son efectivas.

Para ello deberás conservar y actualizar toda tu documentación. Constituye una prueba de los esfuerzos realizados para garantizar el cumplimiento.

Este principio modifica la lógica del control a priori que existía en Francia en virtud de la Ley de Protección de Datos (antes del RGPD). Según esta lógica, las empresas debían declarar previamente sus tratamientos y la autoridad supervisora los valida antes de su implementación (existía un sistema de exenciones para los tratamientos más comunes). A partir de ahora, los procedimientos de autorización previa prácticamente han desaparecido para dar paso a un sistema de control a posteriori. El RGPD otorga al responsable del tratamiento gran libertad sobre cómo implementar su cumplimiento. A cambio, debe poder, especialmente en caso de inspección, justificar y demostrar la pertinencia y eficacia de sus decisiones.?

¿Qué medidas deben implementarse para respetar el principio de rendición de cuentas?

El cumplimiento del RGPD requiere que se adopten y respeten medidas dentro de las empresas. Estas medidas deben ser proporcionadas:

  • La realidad de tu negocio (su tamaño, los recursos humanos y financieros de que dispones, tu nivel de madurez, etc.),
  • Así como los riesgos que representa el tratamiento de datos respecto a los derechos y libertades de las personas.

Como se explicó anteriormente, la rendición de cuentas supone no sólo que se adopten estas medidas sino también que su implementación esté documentada y sea efectiva. Entre estas medidas encontrarás:

1. ¿La creación de políticas relativas a la protección de datos personales?

Es decir, anotar todas las obligaciones y procedimientos que los actores del tratamiento deben respetar para proteger los datos de las personas. Esta puede ser una política interna de protección de datos personales o una política de retención de datos, por ejemplo. Estas políticas garantizan la aplicación uniforme de las normas de protección de datos personales, proporcionando instrucciones a quienes participan en el procesamiento.

2. ¿Respeto a la Privacidad por diseño y Privacidad por defecto?‍?

Este es un principio del RGPD según el cual las organizaciones tienen la obligación:

  • Tener en cuenta la protección de datos personales al diseñar nuevos tratamientos,
  • Y aplicar el más alto nivel de protección de datos por defecto.

Para obtener más información, puede consultar nuestro artículo: RGPD: ¿Cómo implementar la privacidad por defecto y la privacidad por diseño? ". Las medidas adoptadas para respetar este principio deben documentarse.

3. ¿Implementar medidas de seguridad adecuadas?

El RGPD establece que "las medidas técnicas y organizativas son esenciales para gestionar los riesgos". Para saber más sobre esta medida, puedes leer nuestro artículo sobre el principio de seguridad: "GDPR: entender todo sobre el principio de seguridad". Para hacer referencia a estas medidas, en caso de inspección pero también para su uso interno, puede crear una política de seguridad de datos personales.

4. ¿Registrar y reportar violaciones de datos?‍♂️

Se recomienda encarecidamente mantener un registro de los incidentes de seguridad. Al mismo tiempo, debes evaluar la gravedad del incidente y determinar si:

  • Simplemente mencionarlo en su registro de incidentes es suficiente
  • La gravedad de la violación exige que se notifique a la CNIL (dentro de las 72 horas siguientes a tener conocimiento de la violación de datos),
  • La infracción es tan grave que debe notificarse a las personas afectadas, así como a la CNIL.

Consulte nuestro artículo para obtener más información sobre las violaciones de datos:?
https://www.datacomplyone.eu/violation-de-donnees-et-rgpd/

5. ¿Realizar evaluaciones de impacto en materia de protección de datos?

El análisis de impacto (o PIA o AIPD) es un proceso que ayuda a las organizaciones a identificar y medir los riesgos que plantea el tratamiento de datos personales, con el fin de anticiparlos y reducirlos. Este análisis deberá realizarse siempre que el tratamiento de datos pueda suponer un alto riesgo para los derechos y libertades de las personas. Para saber más, puedes leer nuestro artículo: "¿Cómo crear un PIA? Los puntos esenciales. El análisis de impacto demuestra que usted está preocupado por el impacto del procesamiento de datos en los derechos y libertades de las personas. Este documento podrá presentarse durante una inspección de la CNIL.

¿Un ejemplo de sanción basada en parte en el incumplimiento del principio de rendición de cuentas?

El 2 de mayo de 2021, Datatilsynet (el equivalente de la CNIL en Noruega) impuso una multa preliminar de 2,5 millones de euros a la empresa estadounidense Disqus Inc. La autoridad de control noruega se basó en las siguientes infracciones: incumplimiento del principio de rendición de cuentas, legalidad del tratamiento y transparencia.

Disqus es un complemento utilizado por varios periódicos en línea noruegos. Permite a los lectores dejar comentarios públicos debajo de los artículos publicados y proporciona herramientas de moderación para los editores en línea. La empresa utiliza cookies para rastrear a los usuarios que navegan por los sitios relevantes y revende estos datos a socios publicitarios, así como a su empresa matriz. La autoridad supervisora concluye que Disqus lleva a cabo un seguimiento ilegal de usuarios y un procesamiento de perfiles con fines publicitarios. Además, los usuarios de los sitios web no están informados de este tratamiento de datos.

La empresa en cuestión se defendió mencionando que desconoce que el RGPD se aplica en Noruega y para sus actividades. Tras pronunciarse sobre la aplicación territorial y material del RGPD, Datatilsynet señala que las empresas deben considerar sobre todo la aplicabilidad del Reglamento a su tratamiento. Concluye que la obligación general de rendición de cuentas no fue respetada por Disqus, que no documentó su proceso de reflexión sobre el tema.

¿Cómo hacerlo concretamente?

¿Este principio aún no te queda claro? ¿No sabes por dónde empezar? ¿tienes poco tiempo?

✅ Data Comply One (anteriormente Mission RGPD) le permite garantizar el principio de rendición de cuentas manteniendo la trazabilidad y un historial a lo largo del tiempo de todos los procesos de cumplimiento del RGPD. Concentra todo lo que necesitas en un solo lugar. Podrás enviar todos los documentos de apoyo necesarios como archivo adjunto, utilizar nuestros modelos y nuestro espacio documental para crear tu propia documentación para compartir con tus compañeros.

Asegúrese de tener siempre disponibles los documentos necesarios para demostrar su cumplimiento.

Con Data Comply One (anteriormente Mission RGPD), puede simplemente cumplirlo y administrarlo con total tranquilidad. La seguridad de tus tratamientos ya no será un problema.

¡No pierdas más tiempo, es muy sencillo!

Solicita una demo
Otros artículos
sobre el mismo tema