Sistema de cumplimiento de la normativa de privacidad


Manuel Castilleja Toscano     01/06/2023

¿Por qué el sistema de gestión de cumplimiento de la normativa de privacidad es una inversión, y no un gasto?


Una adecuada implantación de un sistema de cumplimiento GDPR/LOPDGDD llevada a cabo por un profesional de la privacidad supone una inversión porque implica el retorno de un rendimiento, que vendrá dado, entre otras, en forma de:

  • Disponer de la información adecuada para la toma de decisiones en la gestión de los riesgos derivados del tratamiento de datos personales.
  • Mejorar la organización interna de la entidad y su control.
  • Mejora de la reputación e imagen pública de la entidad, por su sensibilización y concienciación con el cumplimiento normativo, en este caso en materia de protección de datos personales y la protección de los derechos y libertades de los interesados.
  • Evitar o reducir sanciones administrativas (multas GDPR) y penales (delitos contra la intimidad personal y familiar, delitos de revelación de secretos).
  • Reducción de costes de gestión por una utilización ineficiente de los recursos y activos de la información (prevención y respuestas ante ciberataques, conservación y almacenamiento de información legal y empresarialmente innecesaria, etc.).

LAS 4 FASES DEL SISTEMA DE CUMPLIMIENTO


FASE 1: PLANIFICACIÓN


Para llevar a cabo la implantación debemos conocer la estructura interna de la organización, determinar su situación actual en el ámbito que nos ocupa y definir objetivos a través de:

  • Entrevistas con los responsables de todas las unidades gestoras o departamentos de la organización relacionadas con el tratamiento de datos personales, para conocer la operativa de la organización, y de esta forma determinar qué actividades de tratamiento llevan a cabo, el tipo de datos personales que incluyen y cómo hacen uso de ellos.
FASE 2: IMPLANTACIÓN


Como resultado de las entrevistas se procederá a la fase de implantación con el fin de acreditar una actitud consciente, diligente y proactiva frente a los tratamientos de datos personales que se llevan a cabo a través de:

  • Registro de actividades de tratamiento (RAT).
  • Normas internas (políticas, protocolos...).
  • Circulares con la información sobre el tratamiento y textos legales.
  • Contratos de confidencialidad (personal y encargados del tratamiento).
  • Metodología de gestión de riesgos.
  • Formación y sensibilización a los intervinientes en el tratamiento.
  • Inventarios de activos, software, hardware, soportes, mobiliario.
  • Registros, derechos, brechas, de entrada y salida de soportes.
  • Designaciones y responsabilidades, DPO, responsable de privacidad, comité de privacidad, …
FASE 3: REVISIÓN


Tras la implantación se procederá, periódicamente, al control de si la entidad cumple con lo establecido en el RGPD en los tratamientos de datos personales que realiza, a través de auditorías internas o externas para:

  • Verificar que las obligaciones legales, técnicas y organizativas implementadas por la organización se están llevando a cabo.
  • Identificar cuáles de ellas, en base a la revisión realizada, se recomienda proceder a actuar para resolver las posibles incidencias detectadas en base a las evidencias generadas.
FASE 4: ACTUACIÓN


Todas las no conformidades derivadas de las auditorías realizadas se deben corregir a través de:

  • Plan de Acciones Correctivas (PAC), que será la evidencia de que se han corregido (tratado y solventado) todas las no conformidades.

Y fruto de las revisiones de la gestión de riesgos o EIPD que hayan tenido lugar en dichos procesos, como consecuencia de los cambios que se hayan producido en los tratamientos y que por tanto haya implicado una variación en los riesgos:

  • Se deben adoptar las medidas de seguridad propuestas.