El Reglamento General de Protección de Datos (RGPD) requiere que los responsables y encargados del tratamiento sean proactivos en su cumplimiento, pero quizás te estés preguntando cómo puedes valorar el grado de cumplimiento RGPD de tu empresa o negocio, si hay alguna manera de comprobar que cumples con todas las obligaciones establecidas en materia de protección de datos. En este artículo vamos a dar respuesta a esas dudas.
En este artículo hablamos de:
¿Qué es cumplimiento del RGPD?
Entendemos por cumplimiento del RGPD el seguir y cumplir los principios recogidos en el artículo 5 del RGPD, para lo que es necesario que responsables y encargados del tratamiento tomen e implanten medidas técnicas y organizativas cuyo objetivo sea garantizar la protección de datos personales de los interesados (los titulares de los datos) y demostrar que los tratamientos de datos que realizan son lícitos, necesarios y con una finalidad concreta, protegiendo así su derecho a la privacidad y aquellos derechos y libertades fundamentales que pueden verse afectados por los tratamientos de datos.
Sin embargo, a la hora de llevar a cabo la implantación del RGPD en una empresa o negocio, pueden surgir dudas respecto al grado de cumplimiento del mismo, puesto que si bien hay medidas que es necesario adoptar claramente recogidas en el RGPD, otras muchas no están detalladas o quedan a juicio de responsables y encargados decidir si deben implantarlas o cómo hacerlo (por ejemplo, sería el caso de decidir qué medidas de seguridad es necesario adoptar o determinar qué datos personales es necesario recabar para alcanzar la finalidad propuesta).
¿Cómo puedo valorar el grado de cumplimiento del RGPD?
No existe una única respuesta para esta pregunta, porque existen diferentes formas para valorar el grado de cumplimiento del RGPD de nuestra empresa o negocio, todas ellas válidas, siempre y cuando registren, documenten y demuestren la responsabilidad proactiva de responsables y encargados del tratamiento.
Con carácter general (y orientativo), podemos indicaros tres formas diferentes para que podáis valorar el grado de cumplimiento RGPD de vuestra empresa o negocio y así podáis comprobar que no estáis cometiendo ningún tipo de incumplimiento RGPD, que podría derivar en denuncias y posibles sanciones por parte de la Agencia Española de Protección de Datos (AEPD) u otra autoridad de control.
Elabora una checklist
Una primera forma de valorar el grado de cumplimiento RGPD de tu empresa o negocio, es elaborar una checklist o lista de comprobación, que recoja no solo las medidas en protección de datos que estás obligado a implantar y observar, sino también qué tipo o categorías de datos tratas o vas a tratar y si tienes legitimidad para realizar dichos tratamientos, entre otros.
Puedes realizar esta lista de comprobación siguiendo las directrices establecidas en el RGPD, por ejemplo:
| Medidas | Sí/No |
|---|---|
| Se han determinado las categorías de datos a tratar | |
| Se ha determinado la legitimidad del tratamiento | |
| Se recaba el consentimiento explícito cuando es necesario | |
| Determinar si se comunicarán datos a terceros | |
| Se han firmado los contratos de encargo de tratamiento | |
| Se necesita elaborar un registro de actividades de tratamiento | |
| Se ha elaborado el registro de actividades de tratamiento | |
| Se han determinado las finalidades de los tratamientos | |
| Se han realizado los análisis de riesgos de los tratamientos | |
| Se ha valorado la necesidad de hacer una evaluación de impacto | |
| Se ha realizado una evaluación de impacto | |
| Se han adoptado las medidas de seguridad técnicas y organizativas necesarias | |
| Se ha valorado la necesidad u obligación de designar un DPO | |
| Se ha designado un DPO | |
| Se informa adecuadamente a los interesados sobre el tratamiento de sus datos | |
| Se ha adecuado un protocolo para atender las solicitudes de derechos de los interesados | |
| Se cumple responden las solicitudes de derechos en tiempo y forma | |
| Se ha diseñado un protocolo ante brechas de seguridad | |
| Se ha creado y publicado la política de privacidad de la página web |
Esta tabla es solo un ejemplo de cómo podría elaborarse esa lista de comprobación para determinar, por ejemplo, el grado de cumplimiento del RGPD de PrestaShop si tienes una tienda online en esta plataforma. Cuanto más exhaustiva sea la lista de comprobación, más ítems contemple, más completa y adecuada será la valoración del grado de cumplimiento RGPD.
Si no tienes muy claro cómo hacer esta checklist, puedes recurrir al listado de cumplimiento de la AEPD.
Adhiérete a un código de conducta
Otra forma a la que puedes recurrir para valorar el cumplimiento RGPD, es adherir tu empresa a algunos de los códigos de conducta aprobados y registrados en la AEPD.
Adoptar o adherirse a un código de conducta en protección de datos es una medida completamente voluntaria, pero el proceso de adherirse al código y mantener dicha adhesión implica demostrar un grado de cumplimiento adecuado y suficiente del RGPD, sometido, normalmente, a una auditoría externa para determinar dicho grado de cumplimiento.
Sin embargo, actualmente, solo hay registrados y aprobados tres códigos de conducta, el de Autocontrol (para la actividad publicitaria), el de Farmaindustria (para los ensayos clínicos y otras investigaciones clínicas) y el de UNESPA (para el sector asegurador), por lo que si tu empresa no se dedica a ninguna de estas actividades, no podrás solicitar la adhesión a sus códigos de conducta.
Certifica el cumplimiento RGPD
Finalmente, la tercera forma de valorar el grado de cumplimiento RGPD es la certificación, es decir, solicitar el certificado de cumplimiento RGPD que conceda algún organismo de acreditación nacional o que haya sido acreditado por la AEPD.
El proceso de certificación exige someter la política y el protocolo de protección de datos de la empresa, así como las medidas que haya adoptado a una auditoría interna y externa, para determinar si cumple con los requisitos de la certificación de protección de datos.
Obtener la certificación RGPD significa que se cumple con los requisitos y obligaciones del Reglamento, por lo que se habría valorado positiva y suficientemente el grado de cumplimiento del RGPD.
¿Es necesario valorar el grado de cumplimiento del RGPD?
Sí, es necesario valorar el grado de cumplimiento del RGPD de tu empresa o negocio, puesto que, cómo decíamos al principio de este artículo, el Reglamento requiere que responsables y encargados del tratamiento cumplan con el principio de responsabilidad proactiva, lo que implica tener la capacidad de demostrar que se cumple con las obligaciones del mismo, es decir, que se han adoptado las medidas técnicas y organizativas necesarias para garantizar la protección de los datos personales que se tratan en el desarrollo de las actividades de la empresa o negocio.
Además, ante posibles inspecciones o investigaciones de la AEPD, se deberá aportar la documentación que demuestre el cumplimiento del RGPD, por lo que si has hecho una valoración del grado de cumplimiento del RGPD, ya dispondrás de dicha información.
Valora y comprueba tu grado de cumplimiento RGPD con Atico34 Platform
Cómo hemos visto, no existe realmente un método estándar para valorar el cumplimiento del RGPD de una empresa o negocio, sino diferentes formas o herramientas a las que recurrir para demostrar la proactividad en protección de datos que requiere el Reglamento.
Si estás buscando una de esas herramientas o soluciones para valorar y comprobar el grado de cumplimiento del RGPD en tu empresa, Atico34 Platform es la solución que necesitas; este software para la gestión de la protección de datos te permite saber en todo momento el grado de cumplimiento RGPD de la empresa y las medidas que debes tomar o poner en marcha para corregir problemas y carencias. Además, genera los registros, informes y documentación necesarios para demostrar el cumplimiento del RGPD ante la AEPD o cualquier otra autoridad de control.
Atico34 Platform es la forma más sencilla de llevar el control del cumplimiento RGPD en tu empresa. No lo dudes y ponte en contacto con nosotros para recibir más información.