Principios rectores
Responsabilidad proactiva: las organizaciones deben realizar un análisis exhaustivo de los procesos de tratamientos de datos que realizan.
Valoración adecuada de los riesgos. Deben, también, evaluar los posibles daños y la probabilidad de que se produzcan (fugas, mal uso, deterioro o pérdida, etc.)
Imlementar los medios de prevención y protección necesarios, medidas de seguridad y prevención, buenas prácticas, etc. (p.e.: minimizar los datos, reducir el plazo y seudonimizar)
Información obligatoria sobre la protección de datos
Identificar al responsable: Persona que toma las decisiones sobre la finalidad y destino de los datos.
Especificar la finalidad: conseguir el consentimiento para cada fin de los datos e informar si elaboraremos perfiles.
- Declarar la legitimación: elegir la base legal adecuada que ampara el tratamiento que vamos a realizar.
Consentimiento
Contratos
Obligación legal
Intereses vitales
Interés público
Interés legítimo
Informar al usuario sobre quienes serán los destinatarios: si los datos van a ser cedidos a terceros, el usuario debe saber quién los recibirá.
Divulgar los derechos: el usuario tendrá derecho de acceso, rectificación, supresión y portabilidad de sus datos
Informar sobre la procedencia de los datos: cuando éstos no procedendirectamente del interesado, sino de una fuente pública.
Para ofrecer toda la informaciónal usuario, el RGPD recomienda un modelo por capas:
Primera capa: información básica
Segunda capa: información más detallada y extensa.