Sistema de cumplimiento de la normativa de privacidad
Manuel Castilleja Toscano 01/06/2023 ¿Por qué el sistema de gestión de cumplimiento de la normativa de privacidad es una inversión, y no un gasto?
Una adecuada implantación de un sistema de cumplimiento GDPR/LOPDGDD llevada a cabo por un profesional de la privacidad supone una inversión porque implica el retorno de un rendimiento, que vendrá dado, entre otras, en forma de:
- Disponer de la información adecuada para la toma de decisiones en la gestión de los riesgos derivados del tratamiento de datos personales.
- Mejorar la organización interna de la entidad y su control.
- Mejora de la reputación e imagen pública de la entidad, por su sensibilización y concienciación con el cumplimiento normativo, en este caso en materia de protección de datos personales y la protección de los derechos y libertades de los interesados.
- Evitar o reducir sanciones administrativas (multas GDPR) y penales (delitos contra la intimidad personal y familiar, delitos de revelación de secretos).
- Reducción de costes de gestión por una utilización ineficiente de los recursos y activos de la información (prevención y respuestas ante ciberataques, conservación y almacenamiento de información legal y empresarialmente innecesaria, etc.).
LAS 4 FASES DEL SISTEMA DE CUMPLIMIENTO
FASE 1: PLANIFICACIÓN
Para llevar a cabo la implantación debemos conocer la estructura interna de la organización, determinar su situación actual en el ámbito que nos ocupa y definir objetivos a través de:
- Entrevistas con los responsables de todas las unidades gestoras o departamentos de la organización relacionadas con el tratamiento de datos personales, para conocer la operativa de la organización, y de esta forma determinar qué actividades de tratamiento llevan a cabo, el tipo de datos personales que incluyen y cómo hacen uso de ellos.
FASE 2: IMPLANTACIÓN
Como resultado de las entrevistas se procederá a la fase de implantación con el fin de acreditar una actitud consciente, diligente y proactiva frente a los tratamientos de datos personales que se llevan a cabo a través de:
- Registro de actividades de tratamiento (RAT).
- Normas internas (políticas, protocolos...).
- Circulares con la información sobre el tratamiento y textos legales.
- Contratos de confidencialidad (personal y encargados del tratamiento).
- Metodología de gestión de riesgos.
- Formación y sensibilización a los intervinientes en el tratamiento.
- Inventarios de activos, software, hardware, soportes, mobiliario.
- Registros, derechos, brechas, de entrada y salida de soportes.
- Designaciones y responsabilidades, DPO, responsable de privacidad, comité de privacidad, …
FASE 3: REVISIÓN
Tras la implantación se procederá, periódicamente, al control de si la entidad cumple con lo establecido en el RGPD en los tratamientos de datos personales que realiza, a través de auditorías internas o externas para:
- Verificar que las obligaciones legales, técnicas y organizativas implementadas por la organización se están llevando a cabo.
- Identificar cuáles de ellas, en base a la revisión realizada, se recomienda proceder a actuar para resolver las posibles incidencias detectadas en base a las evidencias generadas.
FASE 4: ACTUACIÓN
Todas las no conformidades derivadas de las auditorías realizadas se deben corregir a través de:
- Plan de Acciones Correctivas (PAC), que será la evidencia de que se han corregido (tratado y solventado) todas las no conformidades.
Y fruto de las revisiones de la gestión de riesgos o EIPD que hayan tenido lugar en dichos procesos, como consecuencia de los cambios que se hayan producido en los tratamientos y que por tanto haya implicado una variación en los riesgos:
- Se deben adoptar las medidas de seguridad propuestas.