Una vez adaptada la empresa a la normativa de protección de datos, es necesario llevar a cabo una actualización y mantenimiento RGPD y LOPD (o LOPDGDD), para asegurarnos de que si se producen cambios en la empresa o en las leyes, seguiremos cumpliendo con las mismas. En este artículo explicamos en qué consiste la actualización y mantenimiento RGPD / LOPD.
En este artículo hablamos de:
El principio del mantenimiento RGPD / LOPD
La normativa sobre Protección de Datos dice que los responsables del tratamiento deben ser proactivos a la hora de garantizar la protección de datos personales, en la práctica esto significa que no basta con adaptar la empresa a las exigencias del RGPD y la LOPDGDD y poder despreocuparnos, sino que hay llevar un mantenimiento y actualización de las medidas implementadas, para asegurarnos de que seguimos cumpliendo con la normativa.
Es decir, es necesario llevar un mantenimiento RGPD y LOPD y no solo para estar al día de nuevas obligaciones, sino también para asegurarnos que ante cambios producidos en nuestra empresa que puedan atañer a la protección de datos personales (como por ejemplo, nuevos clientes, nuevos tratamientos de datos, nuevas campañas de marketing, nuevas cesiones de datos a terceros, nuevos equipos informáticos o herramientas para la digitalización, etc.), las medidas de seguridad técnicas y organizativas siguen siendo suficientes o, en caso de no serlo, es necesario plantear nuevas.
La protección de datos en pequeñas empresas es una labor continua en el tiempo, tanto por esos cambios que se pueden producir como por el hecho de que las leyes de protección de datos son algo vivo, que pueden sufrir modificaciones y actualizaciones, cuyo desconocimiento podría acarrearnos consecuencias, sean estas fruto de una denuncia o de las funciones de la AEPD, como es la inspección e investigación (recordemos que desconocer la ley no exime de su cumplimiento ni de las consecuencias de no hacerlo).
¿En qué consiste la actualización y mantenimiento LOPD / RGPD?
El mantenimiento y actualización de la adaptación al RGPD y la LOPDGDD tiene como objetivo tanto seguir cumpliendo estas normativas como asegurar y garantizar el respeto por la privacidad digital y la protección de los datos personales de nuestros clientes o usuarios, trabajadores, proveedores y resto de personas físicas cuyos datos podamos tratar.
Aunque esta actualización y mantenimiento del cumplimiento del RGPD y la LOPDGDD dependerán de la empresa, su sector y actividad, a grandes rasgos implica llevar a cabo las acciones que enumeraremos a continuación, especialmente cuando se producen cambios significativos o sustanciales en la propia empresa y sus procedimientos (por ejemplo, se procede a contratar un nuevo servicio de almacenamiento en la nube o se va a desarrollar un nuevo producto o servicio que requerirá del tratamiento de información personal).
Si bien estas acciones las puede realizar la propia empresa, dado el tiempo que consume y la complejidad que en ocasiones puede entrañar, es recomendable contratar este servicio de mantenimiento RGPD / LOPD a una consultora especializada en protección de datos personales (pudiendo ser la misma que llevó a cabo la adaptación inicial a la normativa), no solo nos mantendrá actualizados en el cumplimiento de la normativa, en muchos casos nos facilitará herramientas que nos ayudarán en esta labor.
- Auditorías periódicas:
Si bien la auditoría LOPD ya no es una obligación literal, las auditorías de protección de datos son la herramienta adecuada para evaluar el nivel de cumplimiento de la normativa por parte de la empresa. Un auditor independiente pondrá a examen todas las medidas y procesos implementados para garantizar la protección de datos personales, documentará las posibles carencias o insuficiencias y propondrá soluciones para las mismas.
Las auditorías periódicas, que deberían hacerse al menos una vez al año (antes, si se producen cambios significativos en la empresa), ayudarán al responsable del tratamiento con el mantenimiento de la LOPD y el RGPD y su cumplimiento.
- Análisis de riesgos y evaluación de impacto:
Ante nuevos productos o servicios, nuevas campañas de marketing o promoción, adquisición de nuevas herramientas o creación de bases de datos, por citar algunos ejemplos, será necesario realizar los correspondientes análisis de riesgos y, si procede, evaluación de impacto. Estos forman parte también del mantenimiento RGPD.
No basta con haberlos hecho cuando hicimos la adaptación a la normativa, es necesario y obligatorio seguir realizándolos cuando la empresa lleva a cabo acciones que vayan a implicar el tratamiento de datos personales.
- Revisión y actualización de la documentación obligatoria:
Toda la documentación relacionada con el cumplimiento de la normativa de protección de datos debe estar actualizada, especialmente el registro de actividades de tratamiento. Un buen mantenimiento de las obligaciones del RGPD y la LOPDGDD pasa por asegurar que este documento está completamente al día, es decir, se registran y documentan todos los tratamientos de datos personales que se realizan en la empresa.
- Revisión y actualización de acuerdo a cambios normativos:
Como decíamos más arriba, la normativa de protección de datos está en continua evolución, a ello la obligan el desarrollo de nuevas tecnologías, y, por tanto, para asegurar ese mantenimiento en el cumplimiento de la misma, es necesario estar al día de cualquier cambio, modificación o actualización de las leyes que se pueda producir.
Como ejemplos de esto tenemos las nuevas obligaciones que supuso la comúnmente llamada ley de cookies o las de la Ley de Servicios Digitales de la UE.
- Redacción de nuevos contratos de encargo de tratamiento:
Dado que la contratación de nuevos servicios o proveedores para tu empresa, puede requerir también que cedas datos personales de tus clientes o trabajadores a terceros, es necesario redactar nuevos contratos de encargo de tratamiento con ellos. El mantenimiento RGPD y LOPDGDD pasa por suscribir este tipo de contratos en tiempo y forma.
- Revisión y redacción de nuevas cláusulas y avisos legales:
En línea con mantener al día de los posibles cambios normativos y los propios cambios que se produzcan en la empresa y su actividad, el mantenimiento del cumplimiento de la normativa de protección de datos también requiere revisar y, en caso de que sea necesario, redactar nuevas cláusulas de protección de datos, así como avisos legales o políticas de privacidad, para incluir dichos cambios o actualizaciones.
- Asesoramiento e información sobre novedades normativas:
Finalmente, si hemos contratado el servicio de mantenimiento RGPD y LOPDGDD con una consultora especializada, esta nos podrá mantener informados sobre las novedades normativas que se puedan producir y de los cambios que puede ser necesario que realicemos para adaptarnos a ellas.
Además, también nos ofrecerán un servicio continuado de asesoramiento en materia de protección de datos, para resolver cualquier duda o consulta que tengamos al respecto, tanto de las obligaciones actuales que debemos cumplir, como aquellas que puedan derivarse de nuevos tratamientos.
¿Por qué es importante llevar un mantenimiento RGPD y LOPDGDD?
Es importante llevar el mantenimiento RGPD y LOPDGDD por todo lo expuesto en los puntos anteriores, así como para estar siempre seguros de que nuestra empresa cumple con la normativa de protección de datos en todo momento, no hacerlo, como ya dijimos al comienzo, es motivo de sanción.
Si ya tengo toda la documentación de protección de datos ¿por qué tengo que llevar un mantenimiento LOPD y RGPD?
Como hemos dicho más arriba, tener la documentación de protección de datos que nos proporciona la primera vez la consultoría de protección de datos que hayamos contratado, no es suficiente para cumplir la normativa, puesto que deberemos actualizarla en muchos casos.
Por eso, uno de los servicios que incluye el mantenimiento LOPD y RGPD es la actualización de la documentación obligatoria en protección de datos, como son contratos de encargo de tratamiento, el registro de actividades de tratamiento o la revisión y actualización de cláusulas y textos de protección de datos, cuando se produzcan cambios o novedades normativas.
¿Puedo realizar yo mismo el mantenimiento LOPD y RGPD de mi empresa?
Realizar un correcto mantenimiento de la ley de protección de datos para pymes y autónomos exige tiempo y conocimientos, por ejemplo, es necesario estar al día con las modificaciones que se hagan a la ley o con nuevas leyes que afecten a la protección de datos. O redactar nuevos contratos de encargado de tratamiento cuando contratemos a un nuevo proveedor con acceso a datos personales consume tiempo que podemos dedicar a otras actividades.
Un servicio de mantenimiento RGPD / LOPD cubre estas necesidades sin que tú pierdas tu valioso tiempo en ello, ya que te proporciona toda la nueva documentación que necesites completamente personalizada y adapta a tus necesidades, y se preocupa por ti de estar al día con la legislación. Además, ante cambios significativos en tu empresa o tu actividad que puedan afectar a la protección de datos, se ocupará de analizar riesgos potenciales y plantear nuevas medidas de seguridad que puedas necesitar implementar para mitigarlos.
También se ocupará de ayudarte en la gestión de solicitudes de derechos de los interesados y resolver cualquier duda que pueda surgirte.
Además, cubre una necesidad que tú no podrías hacer con la misma objetividad, y es la realización de auditorías de protección de datos.