Superados los comunicados “urbi et orbe” sobre privacidad, cumplamos ahora con el RGPD

Por Camino García Murillo

Una vez superado el pánico inicial de los días previos y posteriores al 25 de mayo de 2018, podemos afirmar, no sin cierta frustración para los profesionales que asesoramos en esta materia, que algunas empresas se han acomodado en la falsa creencia del trabajo bien hecho tras enterrar en emails (en muchos casos innecesarios) a buena parte de nuestra sociedad.  Sin embargo, el verdadero proceso de adecuación, para ciertas empresas, sigue pendiente.

Las modificaciones de fondo (y de forma) que introduce el Reglamento General de Protección de Datos (RGPD) en contraposición al sistema de cumplimiento reactivo al que nos habíamos habituado con la LOPD, exigen un cambio de mentalidad a la hora de abordar el proceso de cumplimiento. Y es que el elemento esencial que rige el espíritu de la normativa comunitaria es el principio de responsabilidad proactiva o accountability. Este principio implica la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar, ante los interesados y ante la autoridad de control, que el tratamiento de datos personales que realiza es conforme con el RGPD.

Pero ¿cómo evidenciar este principio de responsabilidad proactiva? A lo largo del presente artículo se plantea una propuesta práctica de adecuación a la norma, generando evidencias y controles que sirvan como prueba del cumplimiento del mencionado principio de responsabilidad proactiva y, asimismo, sirva como hoja de ruta que facilite el seguimiento y control.

Para ello, se propone la elaboración de los siguientes Protocolos internos a través de los cuales se aborde el cumplimiento de cada requisito del RGPD y se establezcan evidencias y garantías del adecuado nivel de cumplimiento:

PROTOCOLO DE IDENTIFICACIÓN DE COLECTIVOS DE DATOS TRATADOS Y ANÁLISIS DE LA  BASE QUE LEGITIMA EL TRATAMIENTO (ARTÍCULO 6 RGPD):

Como paso previo, es esencial identificar los distintos colectivos de datos de carácter personal que maneja la organización. ¿Cómo identificarlos? Atendiendo a la finalidad del tratamiento. Así, los colectivos más habituales tratados en las empresas serían: clientes, destinatarios de comunicaciones comerciales, empleados, solicitantes de empleo, o sistema de videovigilancia, entre otros.

Una vez identificados los distintos colectivos de datos, se recomienda analizar, por cada uno de estos colectivos, los siguientes puntos:

1. Proceso/s de obtención de datos: se propone documentar las distintas vías de recogida de información personal (a través de formularios online, contratos, vía telefónica, etc.) con el fin de facilitar el análisis de la base que legitima el tratamiento en cada caso.
2. Análisis de la base que legitima el tratamiento en cada proceso de obtención de datos: en relación con cada proceso de recogida de información, deberemos analizar la base legitimadora del tratamiento. Para ello, debemos acudir a las distintas bases que se enumeran en el artículo 6 del RGPD para seleccionar la que corresponda en cada caso: consentimiento, relación contractual o pre-contractual, obligación legal, interés vital, interés público o ejercicio de poderes públicos e interés legítimo. El tratamiento deberá estar justificado en alguna/s de las bases indicadas.
3. Aportación de evidencias: se recomienda aportar, por cada proceso analizado, las evidencias que justifican la licitud del tratamiento. Por ejemplo, si hemos indicado que respecto al colectivo de clientes, los datos se recaban a través de un formulario online, se puede aportar como evidencia el enlace al formulario web en el que se puede verificar la existencia de una casilla de aceptación y un enlace a la Política de Privacidad.

PROTOCOLO DE CUMPLIMIENTO DEL DEBER DE INFORMACIÓN (ARTÍCULOS 13 Y 14 RGPD):

En este Protocolo se propone redactar la leyenda legal que deba implementarse en cada proceso de recogida de datos, y elaborar un inventario de todas las leyendas legales utilizadas en la organización con indicación del documento, formulario o proceso en el que se ha implementado cada una de ellas. Para redactar estas leyendas correctamente, resulta de gran utilidad la Guía para el cumplimiento del deber de informar emitida por la Agencia Española de Protección de Datos.

PROTOCOLO DE REGULACIÓN DE LA RELACIÓN ENTRE RESPONSABLE Y ENCARGADO DEL TRATAMIENTO (ARTÍCULO 28 RGPD)

Se propone abordar este Protocolo con el fin de regular la relación entre el responsable del tratamiento y el proveedor que asuma la figura de encargado del tratamiento. Para ello, se recomienda incluir la siguiente información:

1. Modelo de Contrato de acceso a datos que la empresa deberá elaborar conforme a las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento y que se utilizará para completar cada uno de los contratos de encargado del tratamiento que deban suscribirse.
2. Listado de proveedores que asumen la figura de encargado del tratamiento, indicando por cada uno de ellos:
   1. Tipo de servicios que implica el acceso a datos personales
   2. Fecha de firma del contrato con el encargado del tratamiento
   3. Lugar de archivo del contrato de encargado del tratamiento
3. Evidencias del nivel de cumplimiento del encargado del tratamiento: se propone solicitar periódicamente, evidencias del nivel de cumplimiento por parte del encargado del tratamiento e incorporar al protocolo interno la traza de las evidencias solicitadas.

PROTOCOLO PARA HACER EFECTIVO EL EJERCICIO DE DERECHOS (ARTÍCULOS 15 a 22 RGPD):

En este Protocolo de cumplimiento, se recomienda incluir la siguiente información:

1. Aspectos esenciales de cada derecho (acceso, rectificación, supresión, oposición, limitación y portabilidad): se propone incluir información básica sobre las implicaciones de cada derecho y las cuestiones procedimentales que les afectan (plazo de contestación, canales de contestación, contenido de la contestación, etc.)
2. Proceso de atención de derechos: se recomienda generar un procedimiento interno para gestionar, en su caso, el ejercicio de cada derecho. Para ello se deben detallar los canales habilitados para la recepción de ejercicio de derechos y la/s persona/s encargadas de la recepción interna de las solicitudes y la gestión del proceso de contestación.
3. Registro y seguimiento de las solicitudes realizadas: se propone la inclusión de un apartado en el que, en su caso, se registren las solicitudes de derechos que se produzcan y se realice seguimiento del proceso de contestación.

PROTOCOLO DE GESTIÓN DEL REGISTRO DE ACTIVIDADES DEL TRATAMIENTO (ARTÍCULO 30 RGPD)

El trabajo realizado en nuestro primer Protocolo va a facilitar en gran medida el abordaje del Registro de Actividades del Tratamiento. En este Protocolo se deben documentar cada uno de los aspectos recogidos en el artículo 30 RGPD (nombre y datos de contacto del responsable del tratamiento, y en su caso del corresponsable, del representante del responsable, y del DPD; fines del tratamiento; categorías de interesados y de datos tratados; cesiones; transferencias internacionales, cuando se produzcan; plazos de conservación previstos y las medias técnicas y organizativas aplicadas. Respecto a este último punto, se debe tener en cuenta que no solo habrá que implementar medidas técnicas como el cifrado, la seudonmización y aquellas necesarias para garantizar el cumplimiento de lo previsto en el artículo 32.1 del RGPD, sino que además se deberá dejar evidencia del cumplimiento de otras medidas de carácter organizativo (firma de política de privacidad por los trabajadores, y formación periódica facilitada a los mismos en relación con protección de datos).

PROTOCOLO DE GESTIÓN Y NOTIFICACIÓN DE VIOLACIONES DE SEGURIDAD (ARTÍCULOS 33 Y 34 RGPD)

En este Protocolo se  detalla el procedimiento interno para garantizar que, en el caso de que se produzca una violación de seguridad que ponga en peligro los derechos y libertades de los interesados, la empresa gestione correctamente la resolución de la misma, comunique esta circunstancia a la Agencia Española de Protección de Datos y, en el caso que corresponda, a los interesados cuyos datos personales se hayan visto comprometidos. Para lograr este objetivo, se propone abordar los siguientes aspectos:

1. Comunicación interna en la organización: es fundamental establecer un procedimiento para dar instrucciones al personal sobre cómo deberán proceder en el caso de que detecten una violación de seguridad, y a quién deberán notificarlo internamente (Responsable de Seguridad/ Delegado de Protección de Datos). Es recomendable contar con un modelo de notificación interna a disposición de los empleados, para que resulte más sencilla (y trazable) la notificación interna que realicen.
2. Comunicación a la Agencia Española de Protección de Datos: se propone detallar en el protocolo el procedimiento de notificación e incluir el enlace del sitio web de la AEPD a través de cual se iniciará el procedimiento.
3. Comunicación a los interesados: en el caso de que la violación de seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, se les deberá informar a los interesados. A tal efecto, se recomienda contar con un modelo de notificación al interesado (cuando sea posible enviar dicha notificación uno a uno) y cuando no sea posible, el procedimiento de comunicación se realizará a través de entornos corporativos.
4. Trazabilidad y seguimiento: Asimismo, se recomienda incluir un apartado en el que, en su caso, se registre la violación de seguridad detectada y se gestione el seguimiento de la misma hasta su resolución.

PROTOCOLO DE CUMPLIMIENTO EN RELACIÓN CON LA FIGURA DE DELEGADO DE PROTECCIÓN DE DATOS (ARTÍCULOS 37, 38, Y 39 RGPD)

En ese Protocolo se propone definir la  naturaleza, cualificación, funciones y competencias del Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés) e incluir  un documento de designación a suscribir por las partes, para el caso en que sea obligatorio contar con esta figura, o la empresa determine la conveniencia de su designación, aunque no fuera obligatorio.

Se recomienda documentar en este Protocolo la fundamentación jurídica que justifique tanto la obligatoriedad de la designación como la no obligatoriedad de la designación del DPD en la empresa.

En el caso de que la empresa designe al DPD, se debe notificar su nombramiento a la Agencia Española de Protección de Datos, por lo que se recomienda incluir en el Protocolo interno la fecha de comunicación a la AEPD, y anexar el justificante de la notificación realizada. Se recomienda asimismo que la Memoria Anual que realice el DPD, así como cualquier documento o proceso interno que desarrolle, se anexen a este Protocolo.

PROTOCOLO DE ANÁLISIS DE RIESGOS / EVALUACIÓN DE IMPACTO SOBRE LA PROTECCIÓN DE DATOS (ARTÍCULOS 32, 35 Y 36 RGPD)

La metodología para abordar la realización del Análisis de Riesgo se recoge en la Guía Práctica de Análisis de Riesgos en los Tratamientos de Datos Personales sujetos al RGPD. Por su parte, la metodología para la realización de Evaluaciones de Impacto se detalla en la Guía Práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD

Por lo tanto, se recomienda utilizar las plantillas y documentos facilitados en estas guías para la correcta gestión y seguimiento del Análisis de Riesgos y, en los casos que sea necesario, de la Evaluación de Impacto sobre la Protección de Datos.

Esta propuesta de protocolos internos no es más que una de las muchas opciones que pueden plantearse a lo hora de acometer el proceso de cumplimiento del RGPD. Lo importante es que el procedimiento que desarrolle la empresa garantice el cumplimiento de cada requisito legal, facilite  proceso de documentación y generación de evidencias, y permita gestionar de manera óptima el seguimiento y control permanente del sistema interno de cumplimiento.

Camino García Murillo

Abogada

Meraki Abogados TIC