El Reglamento General de Protección de Datos, RGPD, (art.24) y la Ley Orgánica 7/2021 (art. 27 que traspone el art.19 de la Directiva 680/2016) exigen que el responsable del tratamiento revise y actualice las medidas implantadas en el tratamiento para garantizar que cumple con la normativa de protección de datos. La propia norma establece que hay que llevar a cabo dicha revisión y actualización cuando resulte necesario.
Existen dudas entre algunos responsables sobre cuándo es necesario revisar dichas medidas, aunque, de forma implícita, esto ya está definido en la normativa de protección de datos citada en el párrafo anterior.
Dicha normativa exige que se han de aplicar medidas de forma selectiva. Es decir, la norma establece que hay que implementar medidas adecuadas para garantizar y poder demostrar el cumplimiento. Las medidas seleccionadas por el responsable han de ser las adecuadas y no simplemente una acumulación de medidas. La selección de medidas ha de ser un proceso racional basado en criterios de aptitud y eficacia de las medidas del tratamiento con el objetivo de garantizar y demostrar el cumplimiento de un tratamiento concreto.
Los artículos antes citados determinan cómo tiene que analizarse un tratamiento para determinar la selección de medidas que serán adecuadas. Por un lado, hay que tener en cuenta la naturaleza, el ámbito o la extensión del tratamiento, el contexto y sus fines. Por otro lado, hay que tener en cuenta los riesgos para los derechos y libertades de las personas físicas.
La naturaleza de un tratamiento determina el cómo está implementado: por ejemplo, automático, manual, mixto, en qué operaciones se estructura el tratamiento, si se ejecuta en la nube, en el móvil, si incluye operaciones biométricas y decisiones automatizadas, si participan encargados de tratamiento, si se llevan a cabo transferencias internacionales, etc. (…)
La normativa de protección de datos no exige que dicha revisión sea periódica, pero implícitamente exige que se esté al tanto de los cambios en la naturaleza, contexto, ámbito, fines y riesgos del tratamiento para actuar en consecuencia.
Fuente: AEPD