Es importante que las empresas se adecuen al Reglamento General de Protección de Datos (RGPD) para cuidar los datos de sus clientes y el tratamiento que hace de ellos. Para ello, el responsable del tratamiento de datos personales de una organización o empresa tiene una serie de obligaciones.

El responsable de tratamiento de datos personales es quien debe aplicar las medidas técnicas y organizativas apropiadas en todo momento para garantizar y poder demostrar, a requerimiento de la agencia, que se cumple con la ley. Todo ello deberá hacerlo teniendo en cuenta la naturaleza, el ámbito, el contexto, y los fines del tratamiento, así como los riesgos que puede conllevar.

Sus obligaciones principales son:

1. Registro de actividades de tratamiento. Registro que debemos tener y mantener al día, y la deberemos facilitar a solicitud de la Autoridad de Control. La información mínima que debe contener es:

– El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable y del delegado de protección de datos.

– Los fines del tratamiento.

– Una descripción de las categorías de interesados y de las categorías de datos personales.

– Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.

– En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida su identificación y, en casos concretos, la documentación de garantías adecuadas.

– Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.

– Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.

2. Evaluación del riesgo. Será necesario identificar el riesgo, así como de donde proviene, evaluarlo y aplicar las medidas necesarias a fin de evitar consecuencias negativas para el tratamiento de datos. Estas medidas además de estar aplicadas, se debe demostrar que funcionan. Si fuera necesario la realización de evaluación de impacto, el artículo 35.4 RGPD nos da una lista orientativa de los tratamientos que la necesitan y aplicación de medidas de seguridad en el tratamiento de datos.

3. Notificación de las brechas de seguridad. Se deberán notificar las brechas de seguridad a la Autoridad de Control antes de las 72h desde que se tiene constancia de la brecha siempre que supongan o puedan suponer un riesgo para los derechos y libertades de las personas. Si fuera necesario también deberán comunicarlas a los interesados.