Así, deberá elaborarse una estrategia, previa al tratamiento de los datos, para diseñar las medidas que sean necesarias adoptar en función de la tipología y volumen de datos que efectivamente se traten (Privacy by design). Un ejemplo de medidas a adoptar son la seudonimización de los datos personales o la minimización de datos, es decir, reducir al máximo el tratamiento.
Estas medidas deberán garantizar que, por defecto (Privacy by default), sólo sean objeto de tratamiento los datos personales exclusivamente necesarios para cada uno de los fines específicos del tratamiento, aplicando la misma prevención en cuanto al volumen de datos, extensión de su tratamiento, plazo de conservación y accesibilidad. Asimismo, deben velar porque los datos no sean accesibles sin la intervención del afectado a un número indeterminado de personas físicas.
Además, conforme a los principios de accountability y transparencia, estas medidas, deben ser implementadas de forma tal que permitan la acreditación de su cumplimiento.
La cuantía de la sanción por incumplimiento puede ser ponderada en atención a la gravedad, causas atenuantes o conducta del infractor, y puede alcanzar el mayor de los siguientes importes: 10.000.000 euros o el 2% del volumen mundial total anual del ejercicio financiero anterior.
De esta forma, cada nuevo lanzamiento de productos o servicios que implique un acceso a datos personales, exige un ejercicio previo de análisis de identificación de riesgos para determinar su alcance, impacto y establecimiento de medidas.
El nuevo Reglamento General de Protección de Datos entra en vigor el 24 de mayo y sus disposiciones serán de aplicación directa en todos los Estados miembros en mayo de 2018.