Una gran cantidad de trabajo administrativo consiste en demostrar que usted está familiarizado y entiende todos los aspectos del RGPD, y que su propia organización cumple con los requisitos. La aplicación debe ser pragmática pero exhaustiva, especialmente en las pequeñas empresas, organizaciones y asociaciones. Puede encontrar muchos consejos sobre cómo hacer esto en los anteriores posts. En el futuro, tendrá que mantener su documentación actualizada.
En primer lugar, debe asegurarse de que su organización dispone de conocimientos suficientes. En las organizaciones que cuentan con un Responsable de Protección de Datos (Data Protection Officer o DPO), la responsabilidad se confía al DPO y a su personal. Incluso si usted no tiene un DPO, necesita estar bien informado y proporcionar formación a sus empleados.
Los registros de las operaciones de tratamiento de datos personales son fundamentales para demostrar el cumplimiento. Está obligado a mantener estos registros bajo el RGPD, que al mismo tiempo suponen un punto de partida ideal para documentar cómo asegurar la protección de datos. Para cada operación de tratamiento que se describe, debe demostrar que ha pensado en la finalidad y el fundamento jurídico de la operación de tratamiento, que ha sopesado el riesgo de una violación de datos y que ha tomado todas las medidas de seguridad apropiadas. Por supuesto, también es necesario desarrollar un procedimiento adecuado para garantizar que esta información permanezca completa. Cada operación de tratamiento adicional debe introducirse en los registros. El DPO tiene un papel importante que desempeñar en este sentido. Él o ella brinda asistencia y supervisa si el procedimiento se realiza de manera precisa y oportuna.
En el caso de proyectos importantes, este examen preliminar puede formalizarse aún más en forma de una Evaluación de Impacto de la Protección de Datos (Data Protection Impact Assessment o DPIA). Se trata de un análisis formal de una operación de tratamiento de datos cuyo objetivo es identificar todos los riesgos potenciales de violación de la intimidad, enumerar todas las medidas de protección y determinar si la finalidad y el fundamento jurídico de la operación de tratamiento cubren los riesgos restantes. Si una operación de tratamiento intensivo implica categorías especiales de datos personales, debe presentarse un DPIA a la autoridad de protección de datos (DPA – en Bélgica esta es la Comisión de Privacidad).
Por supuesto, todas las medidas adoptadas en el ámbito de la seguridad también deben estar debidamente documentadas. Cuando se lleva a cabo una auditoría de protección de datos, se espera que pueda demostrar inmediatamente qué procedimientos son aplicables, de cuándo es la versión más reciente, los empleados que aplican cada procedimiento, y si estos empleados han sido notificados y saben qué hacer. Si alguno de los procedimientos incluye verificaciones periódicas, es importante establecer de una forma u otra que estas verificaciones se realicen realmente. Es mejor mantener los archivos de registro técnicos y los informes de supervisión durante algún tiempo. Si se llevan a cabo verificaciones manuales, es necesario crear un informe breve o actualizar un registro, por ejemplo, para poder mostrar cuándo se realizaron estas verificaciones y quién las realizó. Además, todo el sistema de seguridad debe evaluarse periódicamente (al menos una vez al año) y ajustarse para reflejar los cambios en la organización, las herramientas y técnicas utilizadas o las soluciones de seguridad disponibles.
En este contexto, debe prestar especial atención al registro de incidentes y brechas de datos. Toda situación que entre en conflicto con los procedimientos normales de seguridad y todo hallazgo que exponga la existencia del riesgo de una violación de datos, debe registrarse con precisión en un registro de incidentes. Obviamente, los ítems indicados en este registro necesitan ser investigados con mayor detalle para determinar su causa subyacente. Al mismo tiempo, se planifican acciones con el objetivo de reducir el riesgo. Algunos ejemplos de medidas que pueden adoptarse son las medidas técnicas de seguridad adicionales, los procedimientos y controles adicionales o modificados, y las nuevas formas de notificación o registro. Esto necesita ser documentado para que usted pueda demostrar su responsabilidad. Si bien no se requiere necesariamente un sistema de monitorización complejo para este propósito, al menos debe tener varios registros bien organizados que contengan información sobre todos los incidentes (incluyendo su análisis y las soluciones acordadas), así como todos los elementos de acción, su estado y la persona a la que se le ha asignado la responsabilidad.
Se debe prestar especial atención a los acuerdos contractuales con socios o proveedores. Es necesario cerrar acuerdos de tratamiento de datos con subcontratistas para asegurarse de que también cumplen adecuadamente con la legislación. Es una buena idea mantener registros de los subcontratistas a los que se han confiado sus operaciones de procesamiento de datos personales, en los que especifique con precisión lo que cada subcontratista ha tenido que hacer y cómo ha llegado a un acuerdo al respecto. Esto puede enlazarse a un contrato específico. Además, debe asegurarse de que su propia casa está en orden si usted es un procesador que actúa para un cliente. Las operaciones de tratamiento deben introducirse en sus registros, aunque como responsable no es necesario que introduzca tantos detalles como el responsable del tratamiento. También en este caso es esencial que todos los acuerdos cruciales se incluyan en un acuerdo de tratamiento de datos.
Por último, debe poder demostrar que es capaz de garantizar los derechos de los interesados. Debe establecer un acuerdo adecuado sobre el procedimiento que debe seguirse en caso de que un interesado formule preguntas. Es mejor mantener registros de algún tipo de todas las actividades que usted realiza en este contexto. Si usted mantiene registros de cada solicitud recibida de un individuo, anotando la fecha y hora en que fue recibida y todas las acciones tomadas posteriormente, podrá monitorizar si ha reaccionado a tiempo y si ha respondido adecuadamente. También significa que siempre podrá demostrar que cumple con la legislación de la mejor manera posible si es auditado por la DPA o en caso de una queja. Mantener un registro de la línea de razonamiento que se siguió es crucial, particularmente si usted no está dispuesto o no puede cumplir con la solicitud.
Por lo tanto, el simple cumplimiento de la legislación no es suficiente. También tiene que documentarlo y ser capaz de probarlo. Por último, es crucial que se tomen medidas previas al comienzo de todos los proyectos futuros para minimizar los riesgos potenciales. Éste será el tema de la próxima entrega de este blog.
Este artículo ha sido extraído de Group Joos.