¡Pide presupuesto en 2 min! ✓
Empresa

Cómo garantizar que mi empresa cumple el RGPD

6 Mins read

Con el nuevo Reglamento de Protección de Datos tendremos que tener la capacidad de poder demostrar que cumplimos con la norma.

Y no solo debemos demostrarlo ante la Agencia Española de Protección de Datos. Al contratar encargados del tratamiento debemos exigirles garantías de cumplimiento de la normativa y elegiremos a aquellos que lo garanticen. Por tanto, tendremos que acreditarlo también ante aquellos que nos vayan a contratar para prestar un servicio que implique acceso a datos.

¿Cómo justifico el cumplimiento de los requisitos del RGPD?

Los principales mecanismos para demostrar el cumplimiento del RGPD son:

  • Códigos de conducta
  • Mecanismos de certificación
  • Documentación justificativa de las medidas adoptadas

¿Qué son los códigos de conducta?

Los códigos de conducta son mecanismos a adoptar de forma voluntaria que garantizan el cumplimiento de la nueva normativa.

El propio Reglamento establece que podrá usarse como elemento de justificación del cumplimiento la adhesión a Códigos de Conducta. Siempre que se hayan aprobado según las exigencias del art. 40 del RGPD.

¿Quién puede crearlos?

Conforme al RGPD, las asociaciones y otros organismos podrán elaborar códigos de conducta y también existe la posibilidad de que se adhieran a códigos de conducta ya existentes.

Ámbito de aplicación objetivo

El objetivo de estos códigos de conducta es contribuir a la correcta aplicación de la normativa teniendo en cuenta las características y necesidades de los distintos sectores de tratamiento.

Ámbito de aplicación territorial

Por un lado, existen los códigos de ámbito nacional y, por otro lado, los códigos de conducta en los tratamientos de datos que se realicen en más de un Estado Miembro.

¿Qué son los códigos de certificación?

Se trata de un concepto nuevo en el RGPD cuya finalidad es demostrar el adecuado cumplimiento de lo dispuesto en esta normativa, por parte de los responsables y de los encargados del tratamiento.

Estas certificaciones serán válidas durante un periodo de 3 años pasados los cuales podrá ser renovada en las mismas condiciones siempre que se sigan cumpliendo los requisitos necesarios para su expedición.

¿Quién puede crearlos?

Los organismos de certificación, como ENAC, que tengan un nivel de conocimiento adecuado en materia de protección de datos gestionarán y renovarán las certificaciones previa información a la autoridad de control.

Documentación justificativa

La demostración también se puede hacer mediante la documentación generada para establecer las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas.

Esta forma de  acreditar el cumplimiento en base a la documentación interna no será muy complicada. Por que tenemos la obligación de guardar las pruebas que demuestren, por ejemplo, que hemos informado correctamente o que establecemos unas determinadas medidas técnicas u organizativas para cumplir con el principio de seguridad.

Así tendremos mucha documentación sobre el Reglamento como:

  • Procedimientos internos,
  • cláusulas de información,
  • contratos con encargado del tratamiento,
  • registro de actividades del tratamiento,
  • evaluaciones de impacto sobre la protección de datos,
  • análisis de riesgo, etc.

Por tanto, entregando toda esta documentación se demostraría que nuestra empresa cumple con el Reglamento.

¿Debo entregar toda la documentación interna sobre el cumplimiento?

En caso de estar ante una auditoría, el hecho de no proporcionar cierta documentación al equipo auditor nos perjudicaría.

Pero, si queremos justificar ante un tercero que en nuestra empresa el tratamiento de datos se realiza conforme al Reglamento para que contrate nuestros servicios, debemos tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización, como:

  • información sobre los Sistemas Informáticos que usamos, lo que podría afectar a la seguridad de los mismos
  • contrato con uno de nuestro proveedores. Al acceder a ese contrato también accedería a todas las condiciones económicas que pueden ser confidenciales.

Es decir, muchos de los documentos que acrediten el cumplimiento también contendrán información que no debemos compartir a la ligera porque pueden ser datos de carácter personal, puede ser información confidencial o información comercial que no queramos que pueda ser utilizada por los competidores.

¿Qué documentación debo usar para acreditar el cumplimiento?

Dentro de la documentación con la que podemos garantizar el cumplimiento está:

  • Registro de Actividades del Tratamiento,
  • Análisis de riesgos,
  • Evaluaciones de Impacto sobre la Protección de Datos,
  • contratos, medidas, controles, etc, se podrían utilizar, aunque restringiendo cierta información

Por ejemplo, si queremos demostrar que tenemos regulada la relación con un tercero podremos remitir la cláusula de encargado del tratamiento que tenemos firmada sin que se envíe la información sobre el precio o condiciones del servicio, que no aportan nada al fin que perseguimos.

E-book

Guía LOPDGDD

ebook guia lopdgdd

¿Y si un externo me audita o certifica?

Todas las auditorías y las certificaciones cuando no sean oficiales, es decir, no hayan sido aprobadas conforme al RGPD, no valdrán como justificación del cumplimiento. Pero sí nos servirá para demostrar nuestra diligencia en el cumplimiento. Además si podemos defender dicha información con evidencias nos servirá para justificar el cumplimiento.

¿Sería suficiente la declaración responsable?

La declaración responsable es un documento cuyo objetivo es aligerar los procesos administrativos. En esa declaración el interesado manifiesta que cumple con unos requisitos normativos y que tiene la documentación que demuestra ese cumplimiento. Está regulado en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

En el sector público la acreditación del cumplimiento del RGPD se podrá realizar mediante una declaración responsable. Aunque posteriormente se tendrá que acreditar que efectivamente se cumplen con los requisitos. Por lo tanto también tendremos que guardar pruebas que justifiquen la conformidad de nuestros tratamientos con el nuevo Reglamento.

En el ámbito privado el documento tendrá el mismo valor que los certificados privados, es decir, aquellos que no se realicen de forma oficial, no se considerarían válidos como justificantes de cumplimiento.

¿Cómo acredito el cumplimiento ante la AEPD?

En caso de que la Agencia nos solicite documentación, se deberá entregar toda la documentación que nos pidan y aquella que consideremos oportuna para demostrar que el tratamiento de datos se realiza conforme a las estipulaciones del Reglamento y de las normas que resulten de aplicación, como podría ser la LOPDGDD de 2018, la LSSI, etc.

Listado de cumplimiento normativo

La Agencia Española de Protección de Datos ha publicado un Listado de cumplimiento normativo. Es un documento con el que las empresas pueden determinar y confirmar que están siguiendo los requerimientos establecidos por el nuevo Reglamento General de Protección de Datos.

Es necesario documentar todos los procesos, en especial en lo relativo a la identificación del riesgo vinculado con el tratamiento concreto y la evolución del mismo, para poder demostrar la diligencia en el cumplimiento del RGPD.

En este sentido, además de otros documentos que fueran necesarios, el análisis que pudiera realizarse a través de este documento debería incluirse en esa base documental para que, tanto responsables como encargados puedan demostrar en cualquier momento su diligencia y proactividad con relación con el cumplimiento normativo de los tratamientos que llevan a cabo.

¿Qué pasa si  no demuestro el cumplimiento?

Los ciudadanos de la UE tienen derecho a reclamar ante las autoridades de control si consideran que el tratamiento de sus datos personales infringe el RGPD.

Al ser la privacidad un derecho fundamental, también tienen derecho a la tutela judicial efectiva. Así mismo, tienen derecho a indemnización por el responsable o el encargado del tratamiento por los daños y perjuicios sufridos a consecuencia de una infracción del Reglamento europeo para la protección de los datos.

Estos derechos podrán ser ejercidos de forma individual o colectiva, a través de organizaciones o asociaciones sin ánimo de lucro constituidas para la protección de estos derechos y libertades.

Por otra parte, las autoridades de control pueden investigar y corregir las infracciones.

Para las investigaciones podrán:

  • ordenar al responsable o al encargado que facilite información,
  • llevar a cabo auditorías y
  • obtener acceso a los datos, locales y equipos.

Para corregir las infracciones podrán:

  • sancionar con advertencias si consideran que la infracción es posible,
  • sancionar con apercibimientos si se ha infringido el RGPD,
  • limitar temporalmente o prohibir el tratamiento,
  • ordenar supresión de datos e
  • imponer multas.

Espero haberte ayudado con este post a garantizar el cumplimiento de la normativa de Protección de datos en tu empresa. No obstante, si tienes cualquier duda puedes contactar con Grupo Ático34 (tlfno. 91 489 64 19) y nuestro departamento jurídico te ayudará en todo lo que necesites.

Related posts
Empresa

Contrata la Protección de datos con nosotros de forma fácil y rápida

4 Mins read
¿Necesitas contratar protección de datos para tu empresa? ¿Buscas ayuda para cumplir la normativa vigente? En Grupo Atico34 te ofrecemos los mejores…
EmpresaLaboralSanidad

¿Qué debe hacer una empresa cuando detecta casos positivos de Covid-19 entre sus empleados?

6 Mins read
Con muchos centros de trabajo reincorporando a parte de su plantilla, es importante saber qué debemos hacer si detectamos un caso positivo…
ComplianceEmpresa

Responsabilidad social corporativa (RSC): empresas comprometidas con el futuro

12 Mins read
La responsabilidad social corporativa o RSC no es un concepto nuevo, pero sí que ha cogido mucho más peso e importancia desde…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.