Togas.biz

Tal y como introducíamos en nuestra publicación de la semana pasada, un modelo de gestión integral de privacidad ayuda a las organizaciones a cumplir con la normativa y a demostrar su cumplimiento, y es que, si existe un principio por excelencia que el Reglamento General de Protección de Datos (RGPD) consolidó, con su plena aplicación el pasado 25 de mayo de 2018, sin duda, es el principio de responsabilidad proactiva o accountability.

Se define como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con los principios y obligaciones impuestas por el RGPD. Aunque cuente con tan solo algunas referencias a lo largo de la norma, lo cierto es que su implementación y connotación práctica significa mucho para una organización. Durante estos 5 años desde la plena aplicación del RGPD, hemos podido comprobar que los principales pilares a los que las organizaciones deben prestar especial atención para demostrar responsabilidad proactiva dentro de un modelo de gestión integral de privacidad son los que a continuación se detallan.

Registro de actividades de tratamiento

Los registros de actividades del tratamiento (RAT o RPA por sus siglas en inglés) constituyen un registro documental que las empresas deben mantener actualizado para demostrar su cumplimiento con la regulación de protección de datos personales. Este deberá incluir información detallada sobre todo el ciclo de los datos como los tipos de datos personales que se recopilan, la finalidad del tratamiento, las categorías de destinatarios, los plazos y/o criterios para su conservación o las medidas de seguridad implementadas para proteger los datos. La complejidad no reside solo en crearlo, sino en mantenerlo actualizado y, entender las actividades de tratamiento en relación con otros inventarios internos, como pueden ser los relativos a encargados del tratamiento, o los referentes sistemas en los que se están almacenando los datos personales. Cabe decir, que el incumplimiento del artículo 30 del RGPD está tipificado como sanción grave en la Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD).

Los registros de actividades del tratamiento son una herramienta útil para identificar y corregir problemas de privacidad y seguridad de datos en tiempo real. En este sentido, contar una política interna para el mantenimiento, actualización y supresión de las actividades de tratamiento registradas en el RPA/RAT, tal y como viene exigiendo la autoridad de control, así como alcanzar cierto grado de automatización en el mantenimiento y actualización del mismo, que a su vez se interrelacione con otros inventarios corporativos, se presenta como un reto, pero si se consigue, supondrá la reducción de tiempo, coste y esfuerzo para las organizaciones, favoreciendo al mismo tiempo la optimización del cumplimiento normativo. Para ello, es básico encontrar la herramienta o solución tecnológica que mejor se adapte a las características de la organización, sus dimensiones, granularidad de tratamientos, entre otros muchos factores.

Los registros de actividades del tratamiento constituyen un registro documental que las empresas deben mantener actualizado para demostrar su cumplimiento con la regulación de protección de datos

Evaluaciones de Impacto relativas a la protección de datos

Las Evaluaciones de Impacto en la Protección de Datos (EIPD o PIAs por sus siglas en inglés) son un proceso mediante el cual se evalúan los riesgos y las posibles consecuencias para los derechos de los interesados, cuando se traten sus datos personales. Las EIPD son obligatorias en virtud del RGPD para aquellos tratamientos que se consideren de alto riesgo, como, por ejemplo, el procesamiento de datos biométricos con el propósito de identificar de manera única a una persona física o el seguimiento sistemático y exhaustivo de personas en un área geográfica determinada, entre otros supuestos que ha identificado la AEPD. En alguna ocasión ya hemos tratado en profundidad la importancia de las EIPD, pero creemos importante destacar su utilidad a la hora de identificar y evaluar los riesgos y las posibles consecuencias de los procesos, lo que ayuda a tomar medidas para minimizar o mitigar estos riesgos, aun cuando no sean obligatorias. De hecho, hacer este tipo de evaluaciones de manera voluntaria ayuda, precisamente, a cumplir de con el principio de responsabilidad proactiva del artículo 5.2 del RGPD, demostrando la diligencia de la organización que las lleve a cabo.

¿Cuál es la mejor metodología de EIPDs? A pesar de que el RGPD establece unas pautas claras sobre el contenido mínimo que se debe seguir para la realización de una Evaluación de Impacto, sin una respuesta absoluta, son las organizaciones las que deben encontrar la metodología que, siendo conforme con la normativa y las directrices de la AEPD en esta materia, se adapte al volumen y características de sus tratamientos. En este sentido, tanto la Agencia Española de Protección de Datos (AEPD) como otras autoridades, como la Information Commissioner’s Officer (ICO), han trabajado y publicado documentación, templates o incluso herramientas, que sirven de soporte a las organizaciones. También es importante destacar la renovada ISO 29134, que incluye Directrices para la evaluación del impacto sobre la privacidad, en concreto proporciona pautas para un proceso de evaluación del impacto, y sobre la estructura y contenido de un informe PIA.

Las organizaciones deben encontrar la metodología que, siendo conforme con la normativa y las directrices de la AEPD en esta materia, se adapte al volumen y características de sus tratamientos

Selección, gestión y supervisión de encargados de tratamiento

Desde que se dio a conocer el RGPD, las novedades relativas a la gestión de encargados del tratamiento marcaron un camino claro para las organizaciones que, actuando como responsables del tratamiento, están en la obligación de elegir encargados del tratamiento únicamente a aquellas entidades que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, y estar en disposición de acreditar que así lo han hecho. Igualmente, dichos encargados deben garantizar que, durante toda la vigencia del encargo, siguen aplicando medidas apropiadas en términos de privacidad y seguridad y están cumpliendo las instrucciones de los responsables del tratamiento.

Deben englobar no solo los requisitos legales, relacionados con la firma de contratos, acuerdos y condiciones para el tratamiento de datos personales, sino que también ha de tener en consideración los riesgos de privacidad y tecnológicos derivados de ese encargo del tratamiento, tanto al inicio de la relación contractual, como durante toda misma. No solo el RGPD, sino también otras regulaciones o estándares relacionados con la privacidad y la seguridad, como puede ser la Directiva NIS2 o la propuesta de Ley de Ciberresiliencia, entre otras, están poniendo el foco en la importancia en la gestión de los riesgos que tienen su origen en la cadena de suministro, más conocida como “supply chain” por su traducción en inglés, y por ende en los terceros. Respecto a lo anterior, destacamos que, tanto la contratación de un encargado del tratamiento sin garantías suficientes para aplicar las medidas técnicas y organizativas, como el encargo de datos sin previa formalización de un contrato, supone una infracción grave, tal y como lo tipifica el artículo 73 de la LOPDGDD.

Por último, mencionar que las organizaciones se están esforzando en implantar modelos de gobierno, homologación y control de terceros, que, buscando la revisión continua, engloben de una forma conjunta tanto las garantías más teóricas, como las técnicas, para alcanzar así un modelo de cumplimiento integral y consistente, que ayude a satisfacer los requisitos esperados en relación con el cumplimiento de las principales normativas y mejores prácticas.

Transferencias Internacionales

Tal y como apuntábamos en nuestra publicación sobre los flujos transfronterizos, en el ámbito de las transferencias internacionales se han producido más cambios de los esperados desde la plena aplicación del RGPD, con las dificultades que eso conlleva para las organizaciones. A pesar de las últimas novedades sobre decisiones de adecuación, todavía existen ciertos retos a futuro, como puede ser la interdependencia tecnológica de las empresas estadounidenses y las dificultades para realizar transferencias a Estados Unidos, o el cumplimiento de las exigencias con diferentes regulaciones en el caso de entidades con presencia internacional, por lo que todavía se prevé mucho trabajo en este campo para las organizaciones.

Designación de un Delegado de Protección de Datos

Aunque ya lo analizábamos en otro de nuestros artículos, la figura del Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés) juega un papel fundamental en la gestión de la privacidad y protección de datos personales dentro de una organización. El DPO es responsable de supervisar y asesorar sobre las prácticas de privacidad de la organización, y aunque es el punto de contacto entre la compañía, los interesados y las autoridades de protección de datos debe contar con apoyos de otras áreas tales como el CISO, CDO, etc., ya que la privacidad debe ser entendida como transversal a toda la compañía. Durante estos cinco años de aplicación del RGPD, los DPOs se han enfrentado a grandes retos, derivados de las funciones asociadas a su rol.

También queremos destacar que uno de los requisitos que establece el RGPD, que siempre ha generado cierta dificultad o preocupación, es la independencia del DPO. El reflejo de su importancia se constata ahora con el marco de las actividades llevadas a cabo por el Comité Europeo de Protección de Datos, que lanzó una iniciativa con el objetivo de analizar y evaluar la designación y situación de los DPOs en las organizaciones de los distintos Estados Miembros, para comprobar si las empresas cumplen con los requisitos establecidos en los artículos 37 a 39 del RGPD a la hora de designar un DPO. En cualquier caso, el DPO es un elemento clave en la demostración de la responsabilidad proactiva, así como una ventaja competitiva, ya que constituye, también, un eje importante para el desarrollo estratégico de la compañía.

Gestión y notificación de brechas de seguridad de los datos personales

Las brechas de seguridad de datos personales son incidentes de seguridad en los que se produce un acceso no autorizado, la pérdida, la destrucción o la alteración de datos personales. Incidentes que, año tras año, se sitúan como una de las principales preocupaciones de las organizaciones[1], tanto en desde un punto de vista de privacidad, como de seguridad.

Desde el punto de vista de la privacidad desde el diseño, dotar a las compañías de una serie de procedimientos de gestión y actuación ante violaciones de seguridad de datos, así como la concienciación y formación en este ámbito, es muy importante para evitar exponer los datos personales de los interesados a riesgos como la identidad fraudulenta o el robo de información. En este sentido, implantar un proceso que permita trabajar en la prevención y mejora de medidas de seguridad implantadas, así como en la detección de incidentes, es clave para estar en capacidad de minimizar el riesgo de sufrir una posible brecha de seguridad y, en caso de que ocurran, estar preparadas para responder de manera rápida y eficaz con el objetivo de mitigar los daños. Igualmente, la investigación de los incidentes que se hayan producido conforma un eje clave dentro de la monitorización y mejora continua del modelo de gestión de incidentes.

Seguridad en los tratamientos

El propio RGPD ha dejado en manos de los responsables y encargados del tratamiento definir cuáles son las medidas de seguridad técnicas y organizativas apropiadas para garantizar los principios de privacidad y protección de datos. Aunque el texto europeo establezca unos mínimos, y ciertas normativas locales hayan podido aterrizar o concretar a un nivel más bajo qué se espera por parte de las compañías, lo cierto es que siguiendo la esencia del principio de accountability, el nivel de detalle y adaptación a las necesidades de cada organización, será su propia responsabilidad. Existen diferentes marcos y regulaciones que pueden ser utilizados como punto de partida para crear un marco de cumplimiento propio y adaptado a la organización como puede ser la ISO 27001, NIST CSF o incluso el Esquema Nacional de Seguridad, así como regulaciones sectoriales que puedan ser de aplicación en la organización, tales como DORA o la Directiva NIS, ya mencionada en este artículo. Sea cual sea el marco o estándar seleccionado, es imprescindible que privacidad y seguridad se entiendan como un binomio inseparable, y que permita evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos, siempre de una forma transversal afectando a todos los dominios de cumplimiento, y teniendo en cuenta todo el ciclo de vida de la información personal.

Privacy & Security by Design

Garantizar la privacidad y la seguridad, en cada una de las fases del ciclo de vida de los datos, se ha vuelto crucial no solo por una cuestión de cumplimiento normativo, considerada en 2022 en el TOP 1 de las preocupaciones en Privacy por parte de la International Association of Privacy Professionals (IAPP), sino también para proteger la marca y preservar la confianza de los clientes de una organización, siendo un importante elemento de competitividad y valor añadido. Por lo tanto, integrar la privacidad en los procesos de diseño, operación y gestión de los sistemas de información, debe constituirse como un interés en sí mismo, perseguido de la misma manera que los demás objetivos estratégicos y de negocio de la organización.

¿Cuál debe ser el objetivo concreto?, la coordinación y aportación de capacidades transversales entre los equipos de seguridad y privacidad, aprovechamiento de sinergias y estableciendo canales de comunicación ágiles, asegurando así la inclusión de estas necesidades desde etapas tempranas, desde el diseño. Esto convierte a la privacidad desde el diseño en la base de la estrategia de protección de datos dentro de la organización. Aunque existen diferentes marcos y estándares que se pueden tomar como base para el diseño de un modelo de cumplimiento, sin ninguna duda el reciente estándar ISO 31700 sobre el que ya hablábamos hace unos meses, se ha situado como referente para cualquier tipo de organización.

¿Cómo se pueden afrontar todas estas obligaciones una organización de forma eficiente? Como ya comentábamos en nuestra publicación de la semana pasada, el camino hacia un modelo de cumplimiento automatizado, mediante el uso de herramientas y soluciones tecnológicas es esencial para abordar la implementación de un modelo de gestión de privacidad consistente, que aporte coherencia a todos los dominios y metodologías aplicadas dentro de una organización. El ámbito de la privacidad y la seguridad están en constante cambio y crecimiento, por lo que la optimización de esfuerzos será clave para seguir afrontando los nuevos retos que todavía están por llegar.

Claudia Álvarez