Como es sabido, el próximo 25 de mayo de 2018 entra en vigor el Reglamento Europeo de Protección de Datos 2016/679 (RGPD), fecha a partir de la cual todas las empresas que traten datos de carácter personal deberán aplicar las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento cumple con el principio de Responsabilidad Proactiva que el propio Reglamento consagra como una de sus novedades principales.
En relación con tal principio de Responsabilidad Proactiva surge la lógica preocupación de cómo acreditar, caso de ser requerido por las autoridades de control, que cumplo con los requisitos establecidos por el Reglamento General de Protecciónn de Datos. El propio Reglamento determina que podrán utilizarse como elementos de demostración del cumplimiento la adhesión a códigos de conducta siempre que se hayan aprobado conforme a los criterios establecidos en su artículo 40 o mediante los mecanismos de certificación aprobados con arreglo a su artículo 42.
Ahora bien, dado que estos medios no son obligatorios, la acreditación también se puede hacer mediante la documentación que se haya generado para concretar las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas.
Esta forma de demostrar o acreditar el cumplimiento en base a la documentación interna y las evidencias no resultará muy complicada, dado que tenemos la obligación de guardar las pruebas que demuestren, por ejemplo, que hemos informado correctamente o que aplicamos unas determinadas medidas de índole técnico u organizativo para cumplir con el principio de seguridad. Y así, dispondremos de procedimientos o protocolos internos, cláusulas de información, contratos de encargado de tratamiento, registro de actividades de tratamiento, evaluaciones de impacto sobre la protección de datos, análisis de riesgos, etc.
Entregando pues toda esta documentación podremos demostrar que nuestra empresa cumple con lo dispuesto en el Reglamento, pero debemos tener cuidado en que aquella documentación contenga única y exclusivamente la información necesaria para acreditar que el tratamiento de los datos es conforme con la norma, sin compartir ciertos contenidos de carácter confidencial o comercial que nos puedan perjudicar si son conocidos por nuestros competidores.
