abogados expertos en normativa de proteccion de datos

Cómo cumplir con la normativa de Protección de Datos Personales en 11 pasos

«Es esencial un buen programa de formación y concienciación, adaptado a las diferentes audiencias presentes en nuestra organización»

En más de una ocasión he visto responsables y encargados iniciar su aproximación al programa de privacidad empezando por el nombramiento del delegado de protección de datos. Una vez designado, ya parecemos estar listos para cumplir con la normativa aplicable. Pero no se puede suponer que esa es la dirección correcta si no reforzamos otros elementos necesarios en nuestro programa de privacidad:

 
  1. El Responsable/s: es necesario conocer su organización, a qué se dedica, en qué sectores opera, qué tipo de clientes tiene (empresas o particulares). Si se trata de un grupo (multinacional o no), es necesario también conocer su estructura. Esta podría dar cabida a otros responsables o corresponsables incluso.
  2. El Encargado/s: quién de entre nuestros proveedores es un responsable (bancos, auditores, aseguradoras) o un encargado (proveedores de nóminas, SaaS, gestión de cookies,…). Es necesario preguntarse también si partes de nuestra organización actúan como encargados y en qué ocasiones. Una vez completada la clasificación, tendremos que verificar que contratos de prestación de servicios, acuerdos intra-grupo u otros incluyen las provisiones necesarias para cumplir lo establecido en la normativa aplicable.
  3. Designación del delegado de protección de datos (DPD): obligatoria o no. Cuestiones que nos deberíamos plantear al designar al DPD es quién, cómo, dónde, cuánto, etc; es decir, con respecto al quien, un DPD interno o externo, individual o grupal; dónde, ¿en qué parte de nuestra organización lo vamos a ubicar?, especialmente cuando se trata de un DPD interno; el cómo nos hará pensar en nuestros procesos internos y la integración del DPD en los mismos, por ejemplo, SLDC en nuestro departamento de IT o su intervención en los elementos de nuestro programa de ciberseguridad que impacten a los datos de nuestros empleados y otros terceros como clientes o proveedores; el cuánto se refiere claramente a la dotación presupuestaria que se asignaría. Estarán de acuerdo conmigo que sólo este apartado de nuestro programa daría para mucho más que un artículo monográfico al respecto.
  4. Un buen programa de formación y concienciación, adaptado a las diferentes audiencias presentes en nuestra organización, así como la exigencia del mismo a aquellos terceros que, o bien nos provean de servicios en los que se procesen datos personales, o bien gestionen aquellos servicios que el responsable haya externalizado.
  5. El registro de actividades de tratamiento así como un buen proceso de revisión de la privacidad desde el diseño y por defecto. A la hora de definir el proceso, es importante identificar qué funciones habrán de participar y qué tareas le corresponden a cada una. Una clara asignación de tareas concretas junto con una formación apropiada, facilitan su incorporación y participación a la hora de revisar proyectos que impliquen el tratamiento de datos personales. Sólo cuando podamos verificar que hay una revisión de la privacidad desde el diseño en tiempo y forma y que dicha verificación se puede acreditar de forma objectiva estaremos en condiciones de poder acreditar nuestro compromiso con el principio de responsabilidad proactiva y eso ya es un buen comienzo.
  6. La evaluación de impacto: creo que es importante considerarla de forma aislada ya que nos presenta aquellos tratamientos que podrían entrañar un alto riesgo al procesar los datos de los interesados. Separar las actividades de procesamiento según su riesgo ayuda a los responsables de privacidad a priorizar los proyectos y a no verse inmersos en volúmenes innecesarios, ya que habrá actividades de tratamiento que no impliquen tal riesgo.
  7. Un sistema documental de calidad en el que se describan los procesos de decisión, aquellos supuestos en los que se haya decidido no seguir la opinión del delegado de protección de datos, en el que sea posible encontrar la documentación de respaldo del registro de actividades de tratamiento y evaluaciones de impacto. No habría que olvidarse de aquellas reglas que se han definido a la hora de iniciar la revisión de la privacidad desde el diseño y por defecto.
  8. Definición de métricas que sean Podemos centrar todos nuestros esfuerzos en cumplir con aquello que se exige en el RGPD, en la LOPD DGG, en los dictámenes de la AEPD, etc y podré ser muy específico a la hora de determinar los riesgos inherentes o residuales de un determinada actividad de tratamiento, pero si no entende el registro en su conjunto será muy complicado determinar cuántas transferencias internacionales de datos cuentas con su necesaria evaluación de riesgos, en cuántas ocasiones hemos elegido interés legítimo como la condición requerida para la licitud del tratamiento y en cuántas se ha completado la necesaria evaluación de los motivos que permitirían la prevalencia de los intereses del responsable sobre aquellos del interesado así como sobre sus derechos fundamentales. La posibilidad de reunir aquellas métricas relevantes en un formato que permita su discusión con el más alto nivel jerárquico y así poder mantener un diálogo más estratégico y no limitarnos a la revisión del proyecto o la iniciativa cuando así sea necesario.
  9. Relaciones con la Autoridad de Control. Lo mejor, no esperar a que se pongan en contacto con nosotros. Tener definida la responsabilidad de quién ha de recibir las comunicaciones ya sean electrónica o de otro tipo, entrenar a aquellos a los que puede llegar en determinadas circunstancias para que reaccionen rápidamente y hagan llegar la comunicación a quién sea oportuno y para que, además, no realicen aquellas conductas que puedan impactar negativamente a la gestión del escrito que hemos recibido.
  10. Concienciación del Alto Management. He querido separar este punto del apartado en el que nos hemos centrado en hablar de formación y concienciación para la plantilla. En otros artículos se ha hablado del “management override”, desaconsejable de todo punto, pero más en este caso si el responsable utiliza datos personales para el desarrollo de su negocio. No sólo se trata de que conozcan nuestro decálogo[1], sino que se comprometan a establecer las vías, ordinarias o extraordinarias si la importancia del riesgo identificado así lo aconsejara, para tomar como propio lo que se establece en el programa, para considerar la opinión del DPD o mejor, si hemos definido métricas relevantes y las hemos organizado en un informe para la dirección, la definición de la estrategia en lo relativo al procesamiento de datos personales, ya sea con fines comerciales u otros.
  11. Comunicación de todo lo anterior. Comunicación, comunicación, comunicación. Este mantra conocido por todos, me atrevería a decir, también aplica aquí. Cuanto mayor sea la divulgación de todo lo anterior, mayores los beneficios.

Fuente: economistjurist.es

Protección de datos personales

¿Tienes dudas en cumplir de normativa de Protección de Datos Personales?

Expertos en normativa de protección de datos personales.

Resumen
¿Cumples con la normativa de Protección de Datos Personales?
Nombre del artículo
¿Cumples con la normativa de Protección de Datos Personales?
Descripción
Cómo cumplir con la normativa de Protección de Datos Personales en 11 pasos
Autor
Publisher Name
ABOGADOS BLANCO MORA
Publisher Logo