Una vez adapta la empresa a la normativa de protección de datos, es posible que pienses que ya lo tienes todo hecho y que te puedes olvidar del RGPD y la LOPD, pero eso no es cierto, cumplir con esta normativa implica tener el cumplimiento al día y actualizado o, en otras palabras, llevar un mantenimiento RGPD y LOPD continuo. En este artículo explicamos en qué consiste actualizar y mantener el cumplimiento del RGPD y la LOPD.
En este artículo hablamos de:
¿Es necesario llevar un mantenimiento RGPD / LOPD?
Sí, es necesario llevar un mantenimiento RGPD / LOPD, es más, podríamos decir que es prácticamente obligatorio, ya que la normativa sobre protección de datos dice que los responsables del tratamiento deben ser proactivos a la hora de garantizar la protección de datos personales, lo que en la práctica significa que no basta con adaptar la empresa para cumplir con los requisitos del RGPD y la LOPD y poder despreocuparnos una vez hecho ese primer paso, sino que hay que actualizar y realizar el mantenimiento de las medidas implementadas en protección de datos.
Además, llevar un mantenimiento LOPD / RGPD no solo implica estar al día de nuevas obligaciones, sino también para asegurarnos que ante cambios producidos en nuestra empresa que puedan atañer a la protección de datos personales (como por ejemplo, nuevos clientes, nuevos tratamientos de datos, nuevas campañas de marketing, nuevas cesiones de datos a terceros, nuevos equipos informáticos o herramientas para la digitalización, etc.), las medidas de seguridad técnicas y organizativas siguen siendo suficientes o, en caso de no serlo, es necesario plantear nuevas.
La protección de datos en pequeñas empresas es una labor continua en el tiempo, tanto por esos cambios que se pueden producir como por el hecho de que las leyes de protección de datos son algo vivo, que pueden sufrir modificaciones y actualizaciones, cuyo desconocimiento podría acarrearnos consecuencias, sean estas fruto de una denuncia o de las funciones de la AEPD, como es la inspección e investigación (recordemos que desconocer la ley no exime de su cumplimiento ni de las consecuencias de no hacerlo).
Actualización y mantenimiento LOPD / RGPD ¿en qué consiste?
El mantenimiento y actualización de la adaptación al RGPD y la LOPD tiene como objetivo tanto seguir cumpliendo estas normativas como asegurar y garantizar el respeto por la privacidad digital y la protección de los datos personales de nuestros clientes o usuarios, trabajadores, proveedores y resto de personas físicas cuyos datos podamos tratar.
Aunque esta actualización y mantenimiento del cumplimiento del RGPD y la LOPD dependerán de la empresa, su sector y actividad, a grandes rasgos implica llevar a cabo las acciones que enumeraremos a continuación, especialmente cuando se producen cambios significativos o sustanciales en la propia empresa y sus procedimientos (por ejemplo, se procede a contratar un nuevo servicio de almacenamiento en la nube o se va a desarrollar un nuevo producto o servicio que requerirá del tratamiento de información personal).
Si bien estas acciones las puede realizar la propia empresa, dado el tiempo que consume y la complejidad que en ocasiones puede entrañar, es recomendable contratar este servicio de mantenimiento LOPD / RGPD a una consultora especializada en protección de datos personales (pudiendo ser la misma que llevó a cabo la adaptación inicial a la normativa), no solo nos mantendrá actualizados en el cumplimiento de la normativa, en muchos casos nos facilitará herramientas que nos ayudarán en esta labor.
- Auditorías periódicas:
Si bien la auditoría LOPD ya no es una obligación literal, las auditorías de protección de datos son la herramienta adecuada para evaluar el nivel de cumplimiento de la normativa por parte de la empresa. Un auditor independiente pondrá a examen todas las medidas y procesos implementados para garantizar la protección de datos personales, documentará las posibles carencias o insuficiencias y propondrá soluciones para las mismas.
Las auditorías periódicas, que deberían hacerse al menos una vez cada dos años (antes, si se producen cambios significativos en la empresa), ayudarán al responsable del tratamiento con el mantenimiento de la LOPD y su cumplimiento.
- Análisis de riesgos y evaluación de impacto:
Ante nuevos productos o servicios, nuevas campañas de marketing o promoción, adquisición de nuevas herramientas o creación de bases de datos, por citar algunos ejemplos, será necesario realizar los correspondientes análisis de riesgos y, si procede, evaluación de impacto. Estos forman parte también del mantenimiento RGPD.
No basta con haberlos hecho cuando hicimos la adaptación a la normativa, es necesario y obligatorio seguir realizándolos cuando la empresa lleva a cabo acciones que vayan a implicar el tratamiento de datos personales.
- Revisión y actualización de la documentación obligatoria:
Toda la documentación relacionada con el cumplimiento de la normativa de protección de datos debe estar actualizada, especialmente el registro de actividades de tratamiento. Un buen mantenimiento de las obligaciones del RGPD y la LOPD pasa por asegurar que este documento está completamente al día, es decir, se registran y documentan todos los tratamientos de datos personales que se realizan en la empresa.
- Revisión y actualización de acuerdo a cambios normativos:
Como decíamos más arriba, la normativa de protección de datos está en continua evolución, a ello la obligan el desarrollo de nuevas tecnologías, y, por tanto, para asegurar ese mantenimiento LOPD / RGPD, es necesario estar al día de cualquier cambio, modificación o actualización de las leyes que se pueda producir.
Como ejemplos de esto tenemos las nuevas obligaciones que supuso la comúnmente llamada ley de cookies o las de la Ley de Servicios Digitales de la UE.
- Redacción de nuevos contratos de encargo de tratamiento:
Dado que la contratación de nuevos servicios o proveedores para tu empresa, puede requerir también que cedas datos personales de tus clientes o trabajadores a terceros, es necesario redactar nuevos contratos de encargo de tratamiento con ellos. El mantenimiento RGPD y LOPD pasa por suscribir este tipo de contratos en tiempo y forma.
- Revisión y redacción de nuevas cláusulas y avisos legales:
En línea con mantener al día de los posibles cambios normativos y los propios cambios que se produzcan en la empresa y su actividad, el mantenimiento LOPD y RGPD también requiere revisar y, en caso de que sea necesario, redactar nuevas cláusulas de protección de datos, así como avisos legales o políticas de privacidad, para incluir dichos cambios o actualizaciones.
- Asesoramiento e información sobre novedades normativas:
Finalmente, si hemos contratado el servicio de mantenimiento RGPD y LOPD con una consultora especializada, esta nos podrá mantener informados sobre las novedades normativas que se puedan producir y de los cambios que puede ser necesario que realicemos para adaptarnos a ellas.
Además, también nos ofrecerán un servicio continuado de asesoramiento en materia de protección de datos, para resolver cualquier duda o consulta que tengamos al respecto, tanto de las obligaciones actuales que debemos cumplir, como aquellas que puedan derivarse de nuevos tratamientos.
¿Por qué es importante llevar el mantenimiento LOPD y RGPD?
Llevar un mantenimiento LOPD / RGPD es importante por lo expuesto en puntos anteriores, porque la normativa exige que como responsables del tratamiento seamos proactivos y podamos demostrar el cumplimiento de la misma, y esto implica mantener y actualizar las medidas de seguridad adoptadas y aplicadas, así como mantener la documentación correspondiente actualizada.
Así mismo, llevar este mantenimiento LOPD evitará que incurramos en sanciones de la AEPD por posibles descuidos (por ejemplo, no notificar una brecha de seguridad o no haber hecho una evaluación de impacto) o por tener medidas de seguridad que no son eficientes.
¿Por qué llevar el mantenimiento LOPD y RGPD si ya tengo toda la documentación de protección de datos?
Lo hemos mencionado ya en varias ocasiones a lo largo del artículo, pero para cumplir con la normativa de protección de datos no basta con hacer una primera adaptación y archivar la documentación que nos proporciona una consultoría de protección de datos a la que hayamos podidos contratar para ello, sino que debemos llevar ese mantenimiento LOPD y RGPD para asegurarnos de que documentación y medidas de seguridad están al día y actualizadas.
Por eso, uno de los servicios que incluye el mantenimiento LOPD y RGPD es la actualización de la documentación obligatoria en protección de datos, como son contratos de encargo de tratamiento, el registro de actividades de tratamiento o la revisión y actualización de cláusulas y textos de protección de datos, cuando se produzcan cambios o novedades normativas.
¿Puedo realizar yo mismo el mantenimiento LOPD y RGPD de mi empresa?
Realizar un correcto mantenimiento de la ley de protección de datos para pymes y autónomos exige tiempo y conocimientos, por ejemplo, es necesario estar al día con las modificaciones que se hagan a la ley o con nuevas leyes que afecten a la protección de datos. O redactar nuevos contratos de encargado de tratamiento cuando contratemos a un nuevo proveedor con acceso a datos personales consume tiempo que podemos dedicar a otras actividades.
Un servicio de mantenimiento RGPD / LOPD cubre estas necesidades sin que tú pierdas tu valioso tiempo en ello, ya que te proporciona toda la nueva documentación que necesites completamente personalizada y adapta a tus necesidades, y se preocupa por ti de estar al día con la legislación. Además, ante cambios significativos en tu empresa o tu actividad que puedan afectar a la protección de datos, se ocupará de analizar riesgos potenciales y plantear nuevas medidas de seguridad que puedas necesitar implementar para mitigarlos.
También se ocupará de ayudarte en la gestión de solicitudes de derechos de los interesados y resolver cualquier duda que pueda surgirte.
Además, cubre una necesidad que tú no podrías hacer con la misma objetividad, y es la realización de auditorías de protección de datos.