Cumplir con el RGPD no consiste únicamente en informar a los interesados o solicitar su consentimiento. Las organizaciones deben implantar un conjunto de medidas que les permitan demostrar el cumplimiento de la normativa.
Entre las principales obligaciones destacan:
- Mantener un Registro de Actividades de Tratamiento actualizado.
- Realizar un análisis de riesgos sobre los tratamientos de datos.
- Llevar a cabo una Evaluación de Impacto (EIPD) cuando el tratamiento pueda implicar un alto riesgo para las personas.
- Designar un Delegado de Protección de Datos (DPD) cuando la normativa lo exija.
- Aplicar medidas de protección de datos desde el diseño y por defecto.
- Implantar medidas de seguridad técnicas y organizativas adecuadas.
- Disponer de procedimientos para gestionar y notificar las brechas de seguridad cuando sea necesario.
El cumplimiento debe ser continuo y proactivo, adaptándose a los riesgos y a la evolución de la organización. No basta con tener documentación; es necesario revisar y actualizar periódicamente las medidas implantadas para garantizar la protección de los datos personales.