El verbo demostrar.. ( que mi organización cumple con el RGPD) puede ser definido a través de diferentes acciones, tales como : señalar, manifestar, probar, comprobar. Estas son suficientes para conducirnos a definir el cumplimiento del RGPD. Pero…
Pero son cumplidas en su extensión todas y cada una de las regulaciones y obligaciones?
¿A través de qué y cómo podemos dar evidencia?
Ya sabemos que el momento y el lugar de entrada en vigor del RGPD fue el 25 de Mayo de 2018 y el espacio de su ámbito de aplicación es cualquier empresa dentro del espacio de la UNION EUROPEA. Bien pues, a partir de aquí, nuestra demostración y señalamiento se desenvolverá a través de los diferentes medios que la organización dispone o debe disponer.
¿Cuáles son estos?
Desde este inicio, demostrar el cumplimiento del RGPD, vendrá determinado por pasos, algunos de ellos pueden describirse de forma previos y de entre ellos, exigidos por la RGPD:
Realización de
- Análisis de Riesgos.
- EIPD. Evaluación de Impacto.
- Nombramiento de un DPD. Delegado de Protección de Datos.
- Adscripción a CÓDIGOS DE CONDUCTA, CERTIFICACIONES.
- Emplear CIFRADO en la gestión del tratamiento de datos, etc.
Sin entrar a describir todo estos pues ya hemos tratado algunos en otros post, veamos algunas acciones tendentes a demostrar que mi organización cumple el RGPD y la LODPD.
Por ejemplo; La creación de formularios adecuados a cada procedimiento; la creación de clausurado y contratos con las diversas relaciones y en los diversos entornos. La creación a través de redacción de avisos legales en correos corporativos, en las diferentes sitewebs, en todas aquellas aplicaciones departamentales, internas y externas, ayudan a demostrar que la organización cumple con el RGPD
Nuevos avisos, manifiestos de información, consentimiento, mediante carteles informativos, con las mejores políticas de seguridad internas y externas, y con las medidas de seguridad relevantes de acuerdo al tratamiento y la necesidad( anonimización, pseudonimización, cifrado de comunicaciones, backup, etc)
Todo ello por supuesto, en toda la amplitud y complejidad que requerirá un cumplimiento holístico. Así será más fácil demostrar que mi organización cumple con el RGPD
La demostración de cumplimiento del RGPD por la organización puede surgir por varios caminos. La necesidad de comprobación ante una auditoria o también como prueba necesaria ante una brecha de información. O bien a través de instancias internas a la organización, bien a través de denuncia o bien a instancias de parte de la AEPD, etc.
En otro caso, si la demostración se precisa como acción manifestada, podremos estar en la mejor de las opciones puesto que la responsabilidad de la organización, entronca y se dibuja ya en el mismo RGPD. Aquí se han manifestado unos principios claros y necesarios.
El principio de responsabilidad proactiva es una piedra angular del Reglamento general de protección de datos (RGPD). La demostración de cumplimiento con el RGPD se plantea como responsabilidad proactiva. De acuerdo con el RGPD, toda empresa u organización es responsable del cumplimiento de todos los principios de protección de datos, así como de demostrar dicho cumplimiento. El RGPD proporciona un conjunto de herramientas a las empresas u organizaciones para que puedan demostrar su responsabilidad, algunas de las cuales deben aplicarse obligatoriamente.
Por ejemplo, en determinados casos puede ser obligatorio tener un delegado de protección de datos o realizar evaluaciones de impacto relativas a la protección de datos. Los responsables del tratamiento pueden optar por utilizar otras herramientas, como códigos de conducta y mecanismos de certificación para demostrar el cumplimiento de los principios de protección de datos.
Se puede adoptar un código de conducta preparado por una asociación empresarial que haya sido aprobado por una autoridad de protección de datos (APD). Un código de conducta puede ser validado en toda la Unión Europea a través de un acto de ejecución de la Comisión.
Se puede adoptar un mecanismo de certificación aplicado por uno de los organismos de certificación que haya recibido la acreditación de una APD o un organismo de acreditación nacional o ambos, según establezca la legislación de cada Estado miembro.
Tanto el código de conducta como la certificación son instrumentos voluntarios y, por tanto, depende de usted decidir si adopta un determinado código de conducta o si solicita una certificación. Aunque todavía tendrá que respetar y cumplir el RGPD, puede considerar la adopción de estos instrumentos en el caso de una medida de ejecución que se haya presentado contra usted por una violación del RGPD.
Por ejemplo
El organismo de seguros de responsabilidad civil en algunos países ha recibido la aprobación de un código de conducta por parte de la autoridad de control. Varias compañías de seguros competitivas se han adherido a dicho código. La adhesión es voluntaria, pero ayuda a demostrar el cumplimiento del RGPD. En nuestro país aún no está refrendado por la Autoridad de Control y está en trámite.
Nuestra actividad en ALTAOS y la empresa se dedica a esto. Contacte con nosotros.