Obligaciones
Determinar un período de retención
Es responsabilidad del controlador de datos determinar el período de retención apropiado de acuerdo con sus necesidades comerciales en
ausencia de disposiciones reglamentarias.
Tomar las medidas de seguridad adecuadas
El responsable del tratamiento deberá adoptar todas las medidas de índole técnica y organizativa necesarias para garantizar la seguridad de los datos archivados.
Para hacer esto, debe garantizar el nivel de cumplimiento de la privacidad aguas arriba. Esta responsabilidad también recae en el controlador cuando recurre a un procesador. El responsable del tratamiento debe, por tanto, comprobar que estos últimos presentan suficientes garantías de seguridad.
Las medidas de seguridad implementadas deben ser proporcionadas a los riesgos y a la naturaleza de los datos. Los riesgos se refieren en particular a:
- Destrucción (accidental o ilegal);
- la pérdida;
- la alteración;
- difusión;
- acceso no autorizado a los datos.
Administrar los derechos de acceso
Gestione y adapte las autorizaciones de los empleados según las diferentes etapas del ciclo de vida del archivo.
Cuando los datos pasan de la “base de datos activa” a la “base de datos de archivo intermedio” y luego al “archivo final”, ya no deben estar disponibles para su consulta por todo el personal operativo inicialmente previsto, sino solo por personas especialmente autorizadas, que tengan interés en conocer su contenido en razón de sus
funciones (por ejemplo, el servicio de litigación).
Promover la anonimización
Una de las medidas para limitar el riesgo sobre los datos es la práctica de la anonimización. En efecto, la anonimización residirá en el hecho de
utilizar un conjunto de técnicas de forma que resulte imposible identificar a las personas involucradas.
El incumplimiento de la obligación de seguridad está sancionado por el Código Penal pero también por las autoridades de control a
nivel europeo. Para Francia es el Cn.
Sanciones
El controlador de datos debe implementar soluciones de respaldo efectivas para evitar incidentes en los datos respaldados porque, en algunos casos, su responsabilidad podría verse comprometida.
En efecto, si se produce un incidente (ciberataque, fallos en el sistema…) debido al incumplimiento de obligaciones reglamentarias (art. 32 y f. del RGPD) o por incumplimiento de las recomendaciones de la autoridad de control (CNIL), el responsable del tratamiento puede ser sancionado.
Pueden darse dos tipos de sanciones: multas administrativas y sanciones penales.
El controlador de datos hace que la empresa sea más vulnerable a la pérdida de datos, si no respeta las obligaciones reglamentarias y las recomendaciones de la autoridad de control.
De hecho, si la empresa no puede restaurar sus datos perdidos, podría verse sujeta a una interrupción total o parcial de sus actividades. Esta interrupción puede impactar la productividad de la empresa.
Sin embargo, si las copias de seguridad se han realizado correctamente, la empresa podrá retomar sus actividades lo antes posible. Se asegurará la sostenibilidad del negocio y se reducirá la pérdida financiera del negocio.
También existe un riesgo relacionado con la imagen y reputación de la empresa frente a sus clientes.
Además, el responsable del tratamiento tiene que asegurarse de que el encargado del tratamiento dispone de suficientes garantías de seguridad antes de utilizar sus servicios. De hecho, una persona puede demandar al controlador si el procesamiento de sus datos le causó algún daño.
Sin embargo, un controlador no será responsable de los daños si prueba que no fue responsable de ninguna manera por el hecho que dio lugar al daño.
