540 - Forma de establecimiento de las medidas técnicas y organizativas por parte de los responsables y encargados de tratamiento de datos

Artículo 28 de la LOPDGDD

«1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:

a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.

b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.

c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.

d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.

e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.

f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.

g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.

h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación».

Pues bien, los responsables y encargados del tratamiento fijarán las medidas técnicas y organizativas pertinentes para garantizar y acreditar que el tratamiento se adecua a lo dispuesto en:

• El RGPD.
• La LOPDGDD.
• Las normas de desarrollo
• La legislación sectorial aplicable.

En concreto, estimaran la procedencia de realizar:

• Una evaluación de impacto de la protección de datos.
• Una consulta previa.

Además, los responsables y encargados del tratamiento estimarán los peligros existentes en los siguientes casos:

• En situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
• Cuando el tratamiento suponga una privación a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
• Cuando el tratamiento no sea meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del RGPD y 9 y 10 de la LOPDGDD o de los datos relacionados con la comisión de infracciones administrativas.
• Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos.
• Cuando el tratamiento de datos sea de grupos de afectados en situación de especial vulnerabilidad (menores de edad y personas con discapacidad).
• Cuando haya un tratamiento masivo de datos que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
• Cuando los datos personales fuesen a ser objeto de transferencia, de manera ordinaria, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
• En otros casos que a juicio del responsable o del encargado pudieran tener relevancia  (previstos en códigos de conducta y estándares definidos por esquemas de certificación).

CUESTIÓN

¿Qué regulan los artículos 24 y 25 del RGPD?

Los artículos 24 y 25 del RGPD regulan las siguientes materias:

a) La responsabilidad del responsable del tratamiento (artículo 24 del RGPD).

b) La protección de datos desde el diseño y por defecto (artículo 25 del RGPD).

A TENER EN CUENTA. La determinación de las responsabilidades a las que se refiere el artículo 26.1 del RGPD se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento (artículo 29 de la LOPDGDD).