Las medidas adoptadas para garantizar que los tratamientos de datos personales que hacemos en la empresa o el negocio, están de acuerdo a la normativa, deben revisarse y actualizarse cuando sea necesario, tal y como establece el RGPD, pero ¿cuándo hay que revisar las medidas de protección de datos exactamente? Es lo que vamos a ver y desarrollar en este artículo.
En este artículo hablamos de:
¿Se deben revisar las medidas de protección de datos?
Sí, se deben revisar las medidas de protección de datos personales adoptadas por la empresa o negocio para garantizar el cumplimiento de la normativa en el tratamiento de datos personales.
La obligación para responsables y encargados del tratamiento de revisar las medidas de protección de datos, está recogida en varios preceptos del Reglamento General de Protección de Datos (RGPD), en concreto en sus artículos 24, 28, 32 y 39, así como en el artículo 27 de la Ley de Protección de Datos Penales (Ley Orgánica 7/2021).
Además, cualquier política de protección de datos debe contemplar en ella cuándo deben realizarse estas revisiones de las medidas adoptadas y su correspondiente actualización, así como su periodicidad y alcance, y en qué circunstancias se deben realizar revisiones excepcionales.
¿Por qué hay que revisar las medidas de protección de datos?
Revisar las medidas de protección de datos es necesario porque los datos personales y los tratamientos que se realizan no son algo estanco e independiente, sino que se pueden ver afectados por otros factores, lo que hace de la protección de datos personales una labor dinámica, en la que responsables y encargados deben estar atentos a los cambios que se pueden producir en la naturaleza, ámbito, contexto, fines del tratamiento o los propios riesgos existentes respecto a los tratamientos que se realizan.
Se trata de seguir aplicando ese enfoque basado en el análisis de riesgos RGPD, es decir, en la proactividad para prevenir y evitar los riesgos y amenazas que puede entrañar cualquier tratamiento de datos personales y cumplir así con la normativa de protección de datos.
Si las medidas de protección de datos no se revisan cuando se producen cambios que pueden afectar a los tratamientos, corremos el riesgo de no cumplir con la ley de manera adecuada y suficiente, además de poner en riesgo la información personal que manejamos de clientes y empleados, lo que puede acabar derivando en una infracción y su correspondiente denuncia y sanción.
Por eso insistimos en otros de nuestros artículos de la importancia de mantener actualizada la protección de datos, de estar atentos a novedades y cambios normativos, pero también, y cómo veremos en el siguiente punto, a esos cambios que pueden afectar a los tratamientos y, por extensión, a los derechos y libertades fundamentales de los interesados.
¿Cuándo debe la empresa revisar las medidas de protección de datos?
Ni el RGPD ni la LOPDGDD establecen un período concreto para revisar las medidas de protección de datos, pero sí que nos dicen, como ya hemos adelantado, que deberán revisarse cuando se produzca cualquier cambio en la naturaleza, ámbito, contexto, fines del tratamiento o una variación de los riesgos para los derechos y libertades de los interesados.
Para entender mejor a qué nos referimos, definimos estos elementos o factores:
- La naturaleza del tratamiento determina cómo se lleva a cabo, si manera automatizada, manual o mixta, qué operaciones se producen en el mismo (se tratan datos en la nube, en el móvil, se hacen transferencias internacionales, se ceden o comunican datos a terceros, etc.).
- El ámbito del tratamiento se refiere a las categorías de interesados, de datos, a la duración del tratamiento, la frecuencia de la recogida de datos, la conservación, la granularidad de los datos, etc.
- El contexto son los factores externos que pueden condicionar los tratamientos, como las leyes y normas, las características del sector de actividad, las brechas o incidentes de seguridad que hayan afectado a tratamientos similares, el entorno social, etc.
- Los fines del tratamiento son aquellos que determinan la razón por la que se recogen los datos, e incluyen tanto fines instrumentales como colaterales.
- Los riesgos para los derechos y libertades de los interesados son aquellas amenazas que tienen el potencial de materializarse al llevar a cabo un tratamiento y que pueden tener un impacto negativo para los interesados.
Así, cualquier cambio que se produzca en estos elementos o factores implica, necesariamente, llevar a cabo una revisión de las medidas de protección de datos adoptadas.
Además, las medidas de seguridad en la protección de datos deberán revisarse de manera regular, tal y como establece el artículo 32.1 del RGPD; las medidas de seguridad tendrán «un proceso de verificación, evaluación y valoración regulares». No se especifica con cuánta regularidad, pero basándonos en el criterio de la anterior ley de protección de datos española, lo ideal sería hacerlo cada dos años y de manera excepcional cuando se produzcan cambios significativos en los elementos y factores vistos más arriba.
Algunos ejemplos en los que sería necesario revisar las medidas de protección de datos serían:
- La aparición de nuevas amenazas de seguridad en tratamientos similares (como puede ser un nuevo tipo de ciberataques o vector de ataque).
- Si aumenta significativamente el volumen de datos personales que se trata de manera habitual en la empresa.
- Si se cambian los fines para los que se ha recabado inicialmente los datos personales.
- Si se produce una modificación o novedad normativa referente a la protección de datos.
- Si incorporamos tecnología para realizar decisiones automatizadas basadas en datos personales.
- Si vamos a empezar a usar tecnología de autenticación biométrica.
- Si vamos a llevar a cabo un nuevo tratamiento de datos personales de manera habitual.
Cabe señalar que la Ley Orgánica 7/2021 sí que establece una periodicidad de dos años para la revisión de medidas de protección de datos de los tratamientos sometidos al Esquema Nacional de Seguridad.
¿Cómo realizar una revisión de las medidas de protección de datos en la empresa?
Ni el RGPD ni la LOPDGDD establecen un método o sistema para llevar a cabo esta revisión de las medidas de protección de datos, sino que queda al criterio de responsables y encargados del tratamiento.
El mejor método, aparte de mantenerse al tanto de cambios en los elementos y factores citados en el punto anterior, es realizar auditorías de protección de datos de manera periódica, incluyéndolas como parte de la política de protección de datos de la empresa, estableciendo cuándo deben hacerse, tanto de manera general, cuyo plazo podría ser, cómo ya hemos dicho, cada dos años, como de manera excepcional, cuando se produzcan cambios significativos que puedan afectar a los tratamientos de datos personales e impliquen la necesidad no solo de revisar las medidas, sino también de actualizarlas.
Así mismo, en lo que respecta a las medidas de seguridad en protección de datos, se pueden revisar en períodos de tiempo inferiores, cada año, por ejemplo, para asegurar que siguen siendo efectivas y válidas ante un entorno en el que las amenazas varían y evolucionan cada poco tiempo.
Las auditorías y las revisiones en protección de datos pueden realizarse de manera interna, pero es aconsejable que también se encarguen a un auditor externo, como una consultoría especializada en protección de datos, para asegurar la objetividad en el proceso.
En definitiva, revisar las medidas de protección de datos es algo no solo necesario, sino también especificado en el RGPD, por lo que ante cambios que afecten a los tratamientos de datos personales, se deben llevar a cabo estas revisiones y, en caso necesario, actualizaciones de dichas medidas.
Entre los servicios de protección de datos de Grupo Atico34, también llevamos a cabo revisiones y auditorías de las medidas de protección de datos adoptadas por nuestros clientes; realizadas por abogados expertos en la materia, emitiremos un informe con los resultados y las recomendaciones de cambios, actualizaciones o nuevas medidas que pueda ser necesario adoptar para seguir cumpliendo con la normativa de protección de datos.