
Innovación Legal
01 octubre 2018
Por Camino García Murillo
Una vez superado el pánico inicial de los días previos y posteriores al 25 de mayo de 2018, podemos afirmar, no sin cierta frustración para los profesionales que asesoramos en esta materia, que algunas empresas se han acomodado en la falsa creencia del trabajo bien hecho tras enterrar en emails (en muchos casos innecesarios) a buena parte de nuestra sociedad. Sin embargo, el verdadero proceso de adecuación, para ciertas empresas, sigue pendiente.
Las modificaciones de fondo (y de forma) que introduce el Reglamento General de Protección de Datos (RGPD) en contraposición al sistema de cumplimiento reactivo al que nos habíamos habituado con la LOPD, exigen un cambio de mentalidad a la hora de abordar el proceso de cumplimiento. Y es que el elemento esencial que rige el espíritu de la normativa comunitaria es el principio de responsabilidad proactiva o accountability. Este principio implica la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar, ante los interesados y ante la autoridad de control, que el tratamiento de datos personales que realiza es conforme con el RGPD.
Pero ¿cómo evidenciar este principio de responsabilidad proactiva? A lo largo del presente artículo se plantea una propuesta práctica de adecuación a la norma, generando evidencias y controles que sirvan como prueba del cumplimiento del mencionado principio de responsabilidad proactiva y, asimismo, sirva como hoja de ruta que facilite el seguimiento y control.
Para ello, se propone la elaboración de los siguientes Protocolos internos a través de los cuales se aborde el cumplimiento de cada requisito del RGPD y se establezcan evidencias y garantías del adecuado nivel de cumplimiento:
Como paso previo, es esencial identificar los distintos colectivos de datos de carácter personal que maneja la organización. ¿Cómo identificarlos? Atendiendo a la finalidad del tratamiento. Así, los colectivos más habituales tratados en las empresas serían: clientes, destinatarios de comunicaciones comerciales, empleados, solicitantes de empleo, o sistema de videovigilancia, entre otros.
Una vez identificados los distintos colectivos de datos, se recomienda analizar, por cada uno de estos colectivos, los siguientes puntos:
En este Protocolo se propone redactar la leyenda legal que deba implementarse en cada proceso de recogida de datos, y elaborar un inventario de todas las leyendas legales utilizadas en la organización con indicación del documento, formulario o proceso en el que se ha implementado cada una de ellas. Para redactar estas leyendas correctamente, resulta de gran utilidad la Guía para el cumplimiento del deber de informar emitida por la Agencia Española de Protección de Datos.
Se propone abordar este Protocolo con el fin de regular la relación entre el responsable del tratamiento y el proveedor que asuma la figura de encargado del tratamiento. Para ello, se recomienda incluir la siguiente información:
En este Protocolo de cumplimiento, se recomienda incluir la siguiente información:
El trabajo realizado en nuestro primer Protocolo va a facilitar en gran medida el abordaje del Registro de Actividades del Tratamiento. En este Protocolo se deben documentar cada uno de los aspectos recogidos en el artículo 30 RGPD (nombre y datos de contacto del responsable del tratamiento, y en su caso del corresponsable, del representante del responsable, y del DPD; fines del tratamiento; categorías de interesados y de datos tratados; cesiones; transferencias internacionales, cuando se produzcan; plazos de conservación previstos y las medias técnicas y organizativas aplicadas. Respecto a este último punto, se debe tener en cuenta que no solo habrá que implementar medidas técnicas como el cifrado, la seudonmización y aquellas necesarias para garantizar el cumplimiento de lo previsto en el artículo 32.1 del RGPD, sino que además se deberá dejar evidencia del cumplimiento de otras medidas de carácter organizativo (firma de política de privacidad por los trabajadores, y formación periódica facilitada a los mismos en relación con protección de datos).
En este Protocolo se detalla el procedimiento interno para garantizar que, en el caso de que se produzca una violación de seguridad que ponga en peligro los derechos y libertades de los interesados, la empresa gestione correctamente la resolución de la misma, comunique esta circunstancia a la Agencia Española de Protección de Datos y, en el caso que corresponda, a los interesados cuyos datos personales se hayan visto comprometidos. Para lograr este objetivo, se propone abordar los siguientes aspectos:
En ese Protocolo se propone definir la naturaleza, cualificación, funciones y competencias del Delegado de Protección de Datos (DPD o DPO en sus siglas en inglés) e incluir un documento de designación a suscribir por las partes, para el caso en que sea obligatorio contar con esta figura, o la empresa determine la conveniencia de su designación, aunque no fuera obligatorio.
Se recomienda documentar en este Protocolo la fundamentación jurídica que justifique tanto la obligatoriedad de la designación como la no obligatoriedad de la designación del DPD en la empresa.
En el caso de que la empresa designe al DPD, se debe notificar su nombramiento a la Agencia Española de Protección de Datos, por lo que se recomienda incluir en el Protocolo interno la fecha de comunicación a la AEPD, y anexar el justificante de la notificación realizada. Se recomienda asimismo que la Memoria Anual que realice el DPD, así como cualquier documento o proceso interno que desarrolle, se anexen a este Protocolo.
La metodología para abordar la realización del Análisis de Riesgo se recoge en la Guía Práctica de Análisis de Riesgos en los Tratamientos de Datos Personales sujetos al RGPD. Por su parte, la metodología para la realización de Evaluaciones de Impacto se detalla en la Guía Práctica para las Evaluaciones de Impacto en la Protección de los Datos sujetas al RGPD
Por lo tanto, se recomienda utilizar las plantillas y documentos facilitados en estas guías para la correcta gestión y seguimiento del Análisis de Riesgos y, en los casos que sea necesario, de la Evaluación de Impacto sobre la Protección de Datos.
Esta propuesta de protocolos internos no es más que una de las muchas opciones que pueden plantearse a lo hora de acometer el proceso de cumplimiento del RGPD. Lo importante es que el procedimiento que desarrolle la empresa garantice el cumplimiento de cada requisito legal, facilite proceso de documentación y generación de evidencias, y permita gestionar de manera óptima el seguimiento y control permanente del sistema interno de cumplimiento.
Camino García Murillo
Abogada
Meraki Abogados TIC