Togas.biz

Ya se han cumplido casi seis meses desde la entrada en vigor en toda la UE del Reglamento General de Protección de Datos (RGPD) que garantiza el derecho fundamental de los ciudadanos a tener el control sobre qué, quién y para qué se utilizan sus datos personales.

Tras una compleja adaptación, surgen dudas en los Consejos de Administración y de Dirección de las empresas sobre el trabajo de adecuación realizado y las exigencias posteriores de cumplimiento. ¿Se ha hecho una adaptación adecuada? ¿Es necesario hacer algo más?, ¿Podemos demostrar el cumplimiento con el RGPD?

Todas estas dudas tienen su respuesta en el principio de responsabilidad proactiva o accountability. Este principio implica la necesidad de que el responsable del tratamiento aplique las medidas legales, técnicas y organizativas apropiadas a fin de garantizar y poder demostrar, ante los interesados y ante la autoridad de control, que el tratamiento de datos personales que se realiza es conforme con el RGPD.

Dentro de las medidas y obligaciones que toda entidad ha tenido que implementar para adecuarse al RGPD se incluye, entre otras:

  • Llevar un registro de las actividades de tratamiento.
  • Analizar los diversos tipos de procesamiento de datos que realizamos, identificar su base legal para llevarla a cabo y requerir el consentimiento del interesado si necesario.
  • Dar al interesado de todo aquello que afecte al tratamiento de sus datos.
  • Dar respuesta a las peticiones de ejecución de los derechos por parte de los interesados.
  • Aplicar los principios de Privacidad desde el diseño y por defecto.
  • Realizar evaluaciones de Impacto en la Protección de Datos.
  • Designar un Delegado de Protección de Datos.
  • Notificar las brechas de seguridad.
  • Elección responsable del Encargado de Tratamiento.

¿Pero cómo demostramos que estamos aplicando estas medidas ahora, y que las seguiré aplicando en el tiempo?

Una solución que cada vez está tomando más fuerza para demostrar la responsabilidad proactiva a lo largo del tiempo es el establecimiento de un Sistema de Gestión de Protección de Datos. Ser capaz de demostrar el correcto cumplimiento de sus obligaciones, la trazabilidad documental de actividades, asignar roles, responsables, criterios establecidos… son los diferentes aspectos que nos aporta un sistema de gestión.

Este Sistema de Gestión de Protección de Datos se puede sustentar en el estándar sobre el sistema de gestión de información personal. El estándar proporciona un marco para un Sistema de Gestión de Protección de Datos, que ayuda a mantener y mejorar el cumplimiento de la legislación de protección de datos. Las fases de este marco son:

  • Diseño del SGPD: en esta fase se definen los objetivos, políticas, procesos y procedimientos relevantes del Sistema de Gestión para gestionar los riesgos de los datos personales, con el fin de cumplir con la legislación sobre protección de datos y obtener resultados acordes con los objetivos estratégicos de nuestra empresa.
  • Implementación y utilización del SGPD: en esta fase se define y ejecuta el plan de implantación de medidas de privacidad necesarias para el cumplimiento de la legislación de protección de datos.
  • Monitorización y revisión del SGPD: en esta fase se efectúan revisiones periódicas del SGPD, auditorías internas que permiten validar la vigencia, razonabilidad y efectividad de éste y los controles legales, organizativos y técnicos establecidos. Se definen los indicadores y registros para demonstrar e evidenciar el cumplimiento de los requerimientos de protección de datos.
  • Mantenimiento y mejora del SGPD: en esta fase se implantan las mejoras, las acciones preventivas y las acciones correctivas identificadas en las fases anteriores y se evalúa si estas han cubierto los objetivos y si son necesarias medidas adicionales para cubrir los objetivos propuestos. Una vez acabada esta fase se inicia otra iteración, volviendo al proceso de “Diseño del SGPD”.

n definitiva, es igual de importante el cumplimiento como la prueba del cumplimiento del RGPD. De poco nos servirá recoger los consentimientos si no guardamos registros adecuados de ellos. Tampoco nos servirá tener establecido un sistema sofisticado de respuestas a derechos si no podemos justificar las fechas de recepción y respuesta de dichas peticiones. Las empresas deben tomar las medidas necesarias a efectos de evitar cualquier riesgo de sanción, daño a la reputación u otro perjuicio a su actividad.

Roger Pérez - Gerente en el área de Risk Advisory

Fuente: BDO Abogados y Asesores Tributarios

Source