RGPD El artículo 24 es el primer apartado del RGPD que aborda las obligaciones generales del responsable del tratamiento, que se describen con mayor detalle en artículos posteriores.
El cambio de tono del cumplimiento pasivo al uso de lenguaje obligatorio es un sello distintivo de la legislación GDPR y marca la pauta de cómo se espera que se comporten los controladores más adelante en la legislación.
Responsabilidad del responsable del tratamiento
- Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del procesamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento implementará medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. Esas medidas se revisarán y actualizarán cuando sea necesario.
- Cuando sean proporcionadas en relación con las actividades de procesamiento, las medidas mencionadas en el párrafo 1 incluirán la implementación de políticas apropiadas de protección de datos por parte del controlador.
- La adhesión a los códigos de conducta aprobados a que se refiere el artículo 40 o a los mecanismos de certificación aprobados a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de las obligaciones del responsable del tratamiento.
Responsabilidad del responsable del tratamiento
- Teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del procesamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento implementará medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento se realiza de conformidad con el presente Reglamento. Esas medidas se revisarán y actualizarán cuando sea necesario.
- Cuando sean proporcionadas en relación con las actividades de procesamiento, las medidas mencionadas en el párrafo 1 incluirán la implementación de políticas apropiadas de protección de datos por parte del controlador.
- La adhesión a los códigos de conducta aprobados a que se refiere el artículo 40 o a los mecanismos de certificación aprobados a que se refiere el artículo 42 podrá utilizarse como elemento para demostrar el cumplimiento de las obligaciones del responsable del tratamiento.
En realidad, el RGPD no define qué es una medida técnica, lo que ha generado cierta confusión entre las organizaciones que luchan por comprender cuáles son sus obligaciones. Como tal, la mayoría de las autoridades legales definieron "medida" como cualquier acción que una organización puede tomar, lo que la hace cumplir.
Dado el amplio alcance del término "medida", para determinar cómo lograr el cumplimiento, las organizaciones deben someterse a una evaluación de riesgos exhaustiva que tenga en cuenta las la naturaleza, alcance y propósito de sus actividades de procesamiento.
Además, las organizaciones deben ser continuamente conscientes del derecho a la libertad individual, junto con cualquier riesgo operativo.
Como regla general, cuanto más riesgosa sea la operación de tratamiento, mayor será la cantidad de pruebas requeridas. Las organizaciones deberían preocuparse por recopilar evidencia física y digital que demuestre que son una organización que cumple y respeta las leyes.
Reserva una charla de 30 minutos con nosotros y te mostraremos cómo
Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.
Esto incluye:
La gestión de registros abarca cuatro áreas clave:
Las organizaciones deberían:
ISO aboga por un enfoque dual para la protección de la privacidad organizacional que incluya:
Ambos tipos de políticas pueden combinarse en un solo documento o separarse según lo considere conveniente la organización.
Las políticas deben difundirse a todos los miembros del personal relevantes (y al personal externo, si es necesario), para garantizar el cumplimiento continuo de los requisitos de protección de la privacidad internos y externos.
A cualquier persona que reciba una póliza se le debe pedir que confirme, preferiblemente por escrito, que entiende lo que se le pide y que está dispuesto a cumplirla.
Las políticas deben revisarse cuando se realicen cambios en:
La alta dirección debe establecer una política de protección de la privacidad de alto nivel (junto con otras políticas específicas de cada tema) que describa claramente los procesos y los pasos prácticos que se tomarán para salvaguardar la PII.
Las políticas de protección de la privacidad de la organización deben contener información y seguir siendo relevantes para:
Las políticas de protección de la privacidad deben definir:
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración
Los registros (también conocidos como "listas de inventario") deben tener un propietario delegado y pueden incluir:
Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
---|---|---|
Artículo 24 (3) del RGPD UE | ISO 27701 5.2.1 | Ninguna |
Artículo 24 (2) del RGPD UE | ISO 27701 6.15.1.3 | Ninguna |
Artículo 24 (2) del RGPD UE | ISO 27701 6.2.1.1 | Ninguna |
Artículo 24 (1) del RGPD UE | ISO 27701 7.2.8 | Ninguna |
ISMS.online le ofrece una solución GDPR completa.
Proporcionamos un entorno prediseñado para que usted describa y demuestre su enfoque para proteger los datos de sus clientes europeos y del Reino Unido que se adapta perfectamente a su sistema de gestión.
La plataforma ISMS.online tiene orientación integrada en cada paso combinada con nuestro enfoque de implementación 'Adoptar, Adaptar, Agregar', por lo que el esfuerzo requerido para demostrar su enfoque hacia el RGPD se reduce sustancialmente.
¿Tienes 30 minutos? Descubra más por reservar una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración