12 febrero 2018

¿Cómo acredito que cumplo con el RGPD? ¿Evidencias? ¿Pruebas?

El próximo 25 de mayo de 2018, como todos sabrán, resultará plenamente aplicable el Reglamento Europeo de Protección de Datos 2016/679, conocido por sus sigas RGPD o GDPR, desde esa fecha todas las empresas que traten datos de carácter personal, sea en calidad de Responsables o de Encargados del Tratamiento, para cumplir con el principio de Responsabilidad Proactiva o Accountability, deberán aplicar “las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme al presente Reglamento”.

Sherlock HolmesTendremos que tener la capacidad de poder demostrar que cumplimos con la norma. Esta obligación no es solo para con la Agencia Española de Protección de Datos, la contratación de los encargados del tratamiento se deberá realizar con aquellos que garanticen que cumplen con, por lo que tendremos que acreditarlo también ante aquellos que nos vayan a contratar para prestar un servicio que implique acceso a datos.

¿Cómo acredito que cumplo con los requisitos del Reglamento General de Protección de Datos?

El propio Reglamento determina que podrán utilizarse como elemento de demostración del cumplimiento la adhesión a Códigos de Conducta, siempre que se hayan aprobado conforme a los criterios del art. 40 del RGPD o mediante los mecanismos de certificación aprobados con arreglo al artículo 42.

Dado que estos medios no son obligatorios, la acreditación también se puede hacer mediante la documentación que se haya generado para determinar las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas, lo que en el argot de los Sistemas de Gestión son medidas y controles.

Esta forma de demostrar o acreditar el cumplimiento en base a la documentación interna y las evidencias no resultará muy complicada, dado que tenemos la obligación de guardar las pruebas que demuestren, por ejemplo, que hemos informado correctamente o que aplicamos unas determinadas medidas de índole técnico u organizativo para cumplir con el principio de seguridad. Esto se traduce en que tendremos un montón de documentación sobre el Reglamento como: Procedimientos o protocolos internos, cláusulas de información, contratos de encargado del tratamiento, registro de actividades del tratamiento, evaluaciones de impacto sobre la protección de datos, análisis de riesgo, etc. Por tanto, entregando toda esta documentación se demostraría que nuestra empresa cumple con el Reglamento, aunque…

¿Debo entregar TODA la documentación interna sobre el cumplimiento?

Si nos encontramos en una auditoría, no facilitar cierta documentación al equipo auditor resultaría perjudicial para nuestra empresa, dado que la imagen que se generaría sería sesgada o distorsionada sobre el nivel de cumplimiento.

En cambio, si pretendemos acreditar ante un tercero que en nuestra organización el tratamiento de datos se realiza conforme al Reglamento para que contrate nuestros servicios, tenemos que tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización, como sería la información sobre los Sistemas Informáticos que utilizamos lo que podría comprometer la seguridad de los mismos o si facilitamos todos los folios de un contrato con uno de nuestro proveedores, podrá conocer todas las condiciones económicas que pueden ser confidenciales. Es decir, muchos de los documentos que acrediten el cumplimiento también contendrán información que no debemos compartir a la ligera porque pueden ser datos de carácter personal, puede ser información confidencial o contenga información comercial que no queramos que pueda ser utilizada por los competidores.

Entonces, ¿Qué documentación debo usar para acreditar el cumplimiento?

Dentro del Reglamento encontramos cierta documentación que debe estar a disposición de la Agencia Española de Protección de Datos, la cual no debería contener más información que aquella que acredite que el tratamiento es conforme a la norma, además ha sido generada exprofeso para cumplir con el Reglamento, como por ejemplo el Registro de Actividades del Tratamiento o las Evaluaciones de Impacto sobre la Protección de Datos, parece que esta documentación sería idónea para este fin.

También todas las evidencias que comentábamos antes, contratos, medidas, controles, etc, se podrían utilizar, aunque restringiendo cierta información, por ejemplo, si queremos demostrar que tenemos regulada la relación con un tercero podremos remitir la cláusula de encargado del tratamiento que tenemos firmada sin que se envíe la información sobre el precio o condiciones del servicio, que no aportan nada al fin que perseguimos.

¿Y si un externo me audita o certifica?

Todas las auditorías y las certificaciones, siempre que se trate de una certificación NO oficial, es decir que no haya sido aprobada conforme al art. 42 del RGPD, no valdrá como una presunción de cumplimiento, aunque SI nos servirá para demostrar nuestra diligencia en el cumplimiento, además si podemos sustentar esa información con evidencias nos servirá para demostrar el cumplimiento.

¿Valdría con una declaración responsable?

La declaración responsable es un documento, regulado en la Ley 39/2015, que pretende agilizar los procesos administrativos, en el que el interesado manifiesta que cumple con unos requisitos normativos y que dispone de la documentación que acredita ese cumplimiento.

Partiendo de este concepto, en el sector público la demostración del cumplimiento del RGPD se podrá realizar primero mediante una declaración responsable, aunque posteriormente se tendrá que acreditar que efectivamente se cumplen con los requisitos por lo tanto también tendremos que guardar evidencias que demuestren que nuestros tratamientos son conforme al Reglamento, mientras que en el ámbito privado el documento tendrá el mismo valor que los certificados privados, es decir aquellos que no sean conforme al art. 42, el que nosotros personalmente demos al nombre de quien lo firme.

¿Y ante la Agencia Española de Protección de Datos?

Obviamente, si la Agencia nos requiere documentación, y, se deberá entregar toda la documentación que nos soliciten y aquella que consideremos oportuna para demostrar que el tratamiento de datos se realiza conforme a las estipulaciones del Reglamento y de las normas que resulten de aplicación, como podría ser la LOPD, su Reglamento de Desarrollo, la nueva LOPD cuando se apruebe, la LSSI, etc.

Responsable del Área de Privacidad
UBT Compliance Services

Asociado de ENATIC

LinkedIn

Twitter

Comparte: