(OBLIGACIONES de las empresas, administraciones públicas y entidades).
Obligaciones generales del responsable y del encargado del tratamiento.
Ciertas obligaciones indicadas en Ley Orgánica 3/2018 (LOPD-GDD) y Reglamento (UE) 2016/679 (RGPD), no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales.
A fin de mantener la seguridad y evitar que el tratamiento infrinja lo dispuesto en el presente Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, como el cifrado. Estas medidas deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.
Los responsables y encargados, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, aplicarán medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con la legislación vigente. Dichas medidas se revisarán y actualizarán cuando sea necesario.
En particular se valorará si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la legislación vigente en protección de datos personales.
Contacto: