Ya se han cumplido casi seis meses desde la entrada en vigor en toda la UE del Reglamento General de Protección de Datos (RGPD) que garantiza el derecho fundamental de los ciudadanos a tener el control sobre qué, quién y para qué se utilizan sus datos personales.
Tras una compleja adaptación, surgen dudas en los Consejos de Administración y de Dirección de las empresas sobre el trabajo de adecuación realizado y las exigencias posteriores de cumplimiento. ¿Se ha hecho una adaptación adecuada? ¿Es necesario hacer algo más?, ¿Podemos demostrar el cumplimiento con el RGPD?
Todas estas dudas tienen su respuesta en el principio de responsabilidad proactiva o accountability. Este principio implica la necesidad de que el responsable del tratamiento aplique las medidas legales, técnicas y organizativas apropiadas a fin de garantizar y poder demostrar, ante los interesados y ante la autoridad de control, que el tratamiento de datos personales que se realiza es conforme con el RGPD.
Dentro de las medidas y obligaciones que toda entidad ha tenido que implementar para adecuarse al RGPD se incluye, entre otras:
¿Pero cómo demostramos que estamos aplicando estas medidas ahora, y que las seguiré aplicando en el tiempo?
Una solución que cada vez está tomando más fuerza para demostrar la responsabilidad proactiva a lo largo del tiempo es el establecimiento de un Sistema de Gestión de Protección de Datos. Ser capaz de demostrar el correcto cumplimiento de sus obligaciones, la trazabilidad documental de actividades, asignar roles, responsables, criterios establecidos… son los diferentes aspectos que nos aporta un sistema de gestión.
Este Sistema de Gestión de Protección de Datos se puede sustentar en el estándar sobre el sistema de gestión de información personal. El estándar proporciona un marco para un Sistema de Gestión de Protección de Datos, que ayuda a mantener y mejorar el cumplimiento de la legislación de protección de datos. Las fases de este marco son:
n definitiva, es igual de importante el cumplimiento como la prueba del cumplimiento del RGPD. De poco nos servirá recoger los consentimientos si no guardamos registros adecuados de ellos. Tampoco nos servirá tener establecido un sistema sofisticado de respuestas a derechos si no podemos justificar las fechas de recepción y respuesta de dichas peticiones. Las empresas deben tomar las medidas necesarias a efectos de evitar cualquier riesgo de sanción, daño a la reputación u otro perjuicio a su actividad.