Pese a que el RGPD y la LOPDGDD llevan varios años en vigor, a día de hoy todavía siguen surgiendo dudas en torno a su aplicación en empresas y negocios, como la que nos ocupa en este artículo; ¿es necesario renovar la protección de datos? En las siguientes líneas responderemos a esta pregunta y las implicaciones que tiene para los responsables y encargados del tratamiento.
En este artículo hablamos de:
¿Hay que renovar todos los años la protección de datos?
Si bien, ni el Reglamento General de Protección de Datos (RGPD) ni la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD) indican en su texto literalmente la obligación de renovar la protección de datos, lo cierto es que sí lo hacen de manera indirecta, en concreto, a través del principio de responsabilidad proactiva que responsables y encargados del tratamiento deben cumplir.
Como ya hemos indicado en otros de nuestros artículos, la responsabilidad proactiva implica ser capaz de demostrar el cumplimiento de la normativa de protección de datos, es decir, que responsables y encargados deben ser capaces de acreditar que han adoptado las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, disponibilidad e integridad de los datos personales que tratan.
En la práctica, esto implica que hay que renovar la protección de datos tanto de manera periódica como de manera puntual, en función de las necesidades y cambios en la empresa, entidad o negocio que impliquen cambios o nuevos tratamientos de datos personales, así como de los cambios normativos o nuevas leyes que se puedan producir en torno a la materia.
Pero ¿significa esto que hay que renovar todos los años la protección de datos? En principio, sí, puesto que llevar un mantenimiento LOPD y RGPD anual garantiza que la empresa, entidad o negocio cumple con los diferentes requisitos y obligaciones de la normativa, incluidas las novedades o cambios legislativos que se hayan podido producir durante el año y para las que suele existir un plazo determinado para adaptarse o aplicarse. Además, renovar la protección de datos también suele llevar aparejada la auditoría de protección de datos, una herramienta fundamental para acreditar, precisamente, el cumplimiento de la normativa que exige ese principio de responsabilidad proactiva.
¿Cuándo es necesario renovar la protección de datos?
En parte, ya lo hemos adelantado en el punto anterior, se debe realizar una renovación anual de la protección de datos, incluida la realización de una auditoría (especialmente en empresas o entidades que traten con grandes volúmenes de datos personales o lleven a cabo tratamientos de datos personales de categorías especiales), así como puntual cuando se produzcan cambios significativos en la empresa, entidad o negocio que afecten a los tratamientos de datos personales (como puede ser, por ejemplo, un cambio de los equipos informáticos de la empresa) o cambios o novedades en la normativa.
Pero hay otras situaciones en las que es necesario renovar o actualizar la protección de datos en la empresa, entidad o negocio, puesto que la adaptación a la normativa debe ser algo dinámico y no limitarse a aplicar una serie de medidas iniciales y olvidarnos después de ello, especialmente si en la empresa, entidad o negocio se tratan datos personales de manera habitual o sistemática.
Además, ni el RGPD ni la LOPDGDD especifican de manera concreta qué medidas deben aplicar o adoptar empresas, entidades y negocios a la hora de realizar una correcta protección de datos, sino que estas deben ser adecuadas y suficientes en función del tipo de datos tratados y la actividad desarrollada, lo que implica que son responsables y encargados quienes deben adoptar y aplicar las medidas de seguridad técnicas y organizativas que ellos estimen oportunas y suficientes, además de documentarlas y quienes deberán determinar cuándo renovar o actualizar dichas medidas.
Así mismo, si la empresa, entidad o negocio tiene un certificado de protección de datos otorgado por una entidad certificadora, la renovación de esta certificación también conlleva, evidentemente, renovar la protección de datos. En este caso, por norma general, las certificaciones de protección de datos tienen una duración de tres años, por lo que su renovación debe realizarse al finalizar dicho período.
¿En qué consiste la renovación de protección de datos? 8 puntos
¿En qué consiste la renovación de la protección de datos?
Renovar la protección de datos consiste en, básicamente, mantener actualizadas las medidas técnicas y organizativas adoptadas y aplicadas por la empresa, entidad o negocio. De manera resumida (puesto que ya hemos tratado estos elementos en otros artículos más específicos sobre cada tema), esta renovación y actualización consiste en:
- Si la comercialización de un producto o servicio o la puesta en marcha de un nuevo proceso, implica nuevos tratamientos de datos personales, realización de análisis de riesgos y valoración de si es necesario o no llevar a cabo una evaluación de impacto.
- Si se contratan nuevos servicios o proveedores que implique la cesión de datos personales, la elaboración y firma del contrato de protección de datos personales entre responsable y encargado del tratamiento, previa comprobación de que el futuro encargado cumple con la normativa de protección de datos.
- Actualización de la documentación que acredita el cumplimiento de la normativa (contratos, cláusulas de confidencialidad, consentimientos, cláusulas de protección de datos, registro de actividades de tratamiento, etc.).
- Mantenerse al día de los cambios o novedades normativas que se produzcan y sea necesario adoptar dentro del plazo dado.
- En línea con el punto anterior, actualización, cuando sea necesario, de las cláusulas de protección de datos, avisos legales y políticas de privacidad.
- Gestión de las brechas de seguridad que se hayan podido producir (notificaciones necesarias, análisis y evaluación de la brecha y sus causas y adopción de nuevas medidas correctoras si fuera necesario).
- Finalmente, y como hemos señalado más arriba, someterse a auditorías anuales de protección de datos (o bienal en el caso de pymes o autónomos con tratamientos de datos personales que no impliquen grandes volúmenes de datos o riesgos significativos para los interesados), que, por un lado, servirán para acreditar el cumplimiento del RGPD y la LOPDGDD y, por otro lado, para adoptar y aplicar las medidas correctoras que sea necesario, en caso de detectar problemas o carencias que pongan en riesgo la protección de datos.
¿Quién debe renovar la protección de datos en una empresa?
La renovación de protección de datos en una empresa, entidad o negocio es cosa, como ya hemos señalado, de responsables y encargados del tratamiento y puede llevarse a cabo tanto a nivel interno, por una persona o equipo con formación específica en protección de datos, como a través de un servicio externo de protección de datos, más recomendable esta última opción si no se cuenta con el personal adecuado en la empresa.
Contratar un servicio de protección de datos, como la consultora Grupo Atico34, garantiza mantener al día y actualizado el cumplimiento de la normativa, además de poder realizar auditorías de protección de datos con carácter periódico y completamente objetivas. Así mismo, también es garantía de estar al día de cualquier cambio o novedad legislativa que afecte a la protección de datos y que empresas, entidades o negocios deban adoptar. Además de ofrecer un servicio de asesoramiento continuado en protección de datos, para resolver cualquier duda o consulta que responsables y encargados del tratamiento puedan tener.