És important que les empreses s’adeqüin al Reglament General de Protecció de Dades (RGPD) per cuidar les dades dels seus clients i el tractament que en fa. Per això, el responsable del tractament de dades personals d’una organització o una empresa té una sèrie d’obligacions.

El responsable de tractament de dades personals és qui ha d’aplicar les mesures tècniques i organitzatives apropiades en tot moment per garantir i poder demostrar, a requeriment de l’agència, que es compleix la llei. Tot això ho haurà de fer tenint en compte la naturalesa, l’àmbit, el context i els fins del tractament, així com els riscos que pot comportar.

Les seves obligacions principals són:

1.- Registre dactivitats de tractament. Registre que hem de tenir i mantenir al dia i l’haurem de facilitar a sol·licitud de l’Autoritat de Control. La informació mínima que ha de contenir és:

• El nom i les dades de contacte del responsable i, si escau, del coresponsable, del representant del responsable i del delegat de protecció de dades.
• Les finalitats del tractament.
• Una descripció de les categories dinteressats i de les categories de dades personals.
• Les categories de destinataris a qui es van comunicar o comunicar les dades personals, incloses les destinataris a tercers països o organitzacions internacionals.
• Si escau, les transferències de dades personals a un tercer país o una organització internacional, inclosa la seva identificació i, en casos concrets, la documentació de garanties adequades.
• Quan sigui possible, els terminis previstos per a la supressió de les diferents categories de dades.
• Quan sigui possible, una descripció general de les mesures tècniques i organitzatives de seguretat.

2.- Avaluació del risc. Caldrà identificar el risc, axil com d’on prové, avaluar-lo i aplicar les mesures necessàries per evitar conseqüències negatives per al tractament de dades. Aquestes mesures a més d’estar aplicades, cal demostrar que funcionen. Si cal la realització d’avaluació d’impacte, l’article 35.4 RGPD ens dóna una llista orientativa dels tractaments que la necessiten i l’aplicació de mesures de seguretat en el tractament de dades.

3.- Notificació de les bretxes de seguretat. S’hauran de notificar les bretxes de seguretat a l’Autoritat de Control abans de les 72h des que es té constància de la bretxa sempre que suposin o puguin suposar un risc per als drets i les llibertats de les persones. Si cal també les han de comunicar als interessats.