20/06/2022 |

Libro - RGPD - LOPDGDD. Sistema de cumplimiento de la normativa de privacidad

Libro - Guía del nuevo Reglamento Europeo

Resumen


Esta obra nace fruto de la experiencia adquirida y acumulada, y de las lecciones aprendidas en el tiempo transcurrido desde la entrada en vigor del RGPD. En ella se propone un modelo mediante el cual implantar un sistema de cumplimiento de la normativa de protección de datos, que posteriormente, en base a auditorías periódicas, se irá perfeccionando y actualizando en sus posibles de?ciencias, para conseguir con cada revisión un mayor grado de madurez del sistema, y por tanto, una mayor efectividad del mismo.

Introducción


Esta obra está adaptada al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y a la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

El modelo de cumplimiento que supone la aplicación del RGPD, basado entre otros criterios en la gestión de riesgos, supone un modelo proactivo, en el que serán las organizaciones las que, en base a la gestión del riesgo de los distintos tratamientos que lleven a cabo, decidan sobre la adopción de las medidas de seguridad que sean necesarias, para llevar ese riesgo a un nivel aceptable.

Estamos, por tanto, ante un Sistema de Gestión de Cumplimiento Normativo (Compliance), el que supone el RGPD que, como cualquier otro sistema de gestión, debe estar basado en el ciclo de Deming o de Mejora Continua (PDCA/PHVA): Planificar, Hacer, Verificar y Actuar.

Fruto de la experiencia adquirida y acumulada, y de las lecciones aprendidas en el tiempo transcurrido desde la aplicación del RGPD, nace esta obra, en la que proponemos un modelo mediante el cual, en una primera etapa, vamos a planificar e implantar un sistema de cumplimiento de la normativa de privacidad (Planificar y Hacer), que posteriormente, en base a revisiones periódicas o auditorías (Verificar) iremos actualizando y corrigiendo sus posibles deficiencias (Actuar), para conseguir con cada revisión un mayor grado de madurez del sistema, y por tanto, una mayor efectividad del mismo.

Esta efectividad del sistema de cumplimiento de la normativa de privacidad va a suponer una inversión para la organización en la que se implante, ya que implicará el retorno de un rendimiento, que vendrá dado, entre otras, en forma de:

  • Disponer de la información necesaria y suficiente para la toma de decisiones en la gestión de los riesgos derivados del tratamiento de datos personales.
  • Mejorar la organización interna y el entorno de control de la misma.
  • Mejora de la reputación e imagen pública, por su sensibilización y concienciación con el cumplimiento normativo, en este caso, en materia de protección de datos personales.
  • Evitar o reducir sanciones administrativas (multas del RGPD) y penales (delitos contra la intimidad personal y familiar o delitos de revelación de secretos).
  • Reducción de costes de gestión por una utilización ineficiente de los recursos y activos de la información (prevención y respuestas ante ciberataques, conservación y almacenamiento de información legal y empresarialmente innecesaria, etc.)


En base a la experiencia a la que se aludía en párrafos anteriores, una vez propuesto el sistema de cumplimiento, se abordan distintos casos tipo y situaciones específicas de sectores cuyo tratamiento de datos personales implican ciertas peculiaridades.

Toda la obra y el sistema de cumplimiento propuesto en la misma está basado, como no puede ser de otra forma, en una adecuada gestión del riesgo que los tratamientos puedan suponer para los interesados. Se estructura en torno a la correcta aplicación del artículo 5 del RGPD (principios relativos al tratamiento), en opinión de este autor, esencia del Reglamento, y base para la correcta aplicación del resto de preceptos del mismo, que podrían considerarse aplicaciones prácticas del referido artículo 5.