Cómo cumplir con el RGPD y no morir probándolo

proteccion de datos

La cuenta atrás corre que te escarba. Queda muy poco para el 25 de mayo, fecha en la que será de aplicación el Reglamento Europeo de Protección de Datos o RGPD o GDPR.

 

Dicho normativa, de aplicación directa a todos los estados miembros de la UE, establece un principio fundamental, cual es el de responsabilidad proactiva, lo que se conoce en el mundo anglosajón como accountability, que traducido viene a decir que ya somos mayores de edad para aplicar las medidas técnicas y organizativas que estimemos oportunas para garantizar y poder demostrar que el tratamiento de los datos personales es conforme al RGPD.

 

Una de las cuestiones más controvertidas a la hora de probar el cumplimiento del RGPD será cuando contratemos con los encargados del tratamiento, ya que debemos hacer una labor policial (hasta ahora se hacía con la comprobación de la inscripción de los ficheros y con el documento de seguridad) contratando única y exclusivamente con aquellos que garanticen que cumplen, a su vez, con el RGPD. Y no sólo el contrato de encargado del tratamiento es suficiente.

 

Es cierto que el RGPD nos da soluciones, como la adhesión a códigos de conducta o mediante certificación. Pero dichos medios no son obligatorios, y en un principio pocos estarán adheridos o certificados. Por tanto, hay que buscar otras vías. ¿Cuáles? Por ejemplo, acreditar que se han implementado las medidas técnicas y organizativas necesarias atendiendo al nivel de riesgo que presente la organización; no tenemos el documento de seguridad ni la inscripción de los ficheros, pero tenemos el registro de actividades del tratamiento, los análisis de riesgos, protocolos de actuación, etc.

 

También cabe auditar al encargado, pero a nadie le gusta que le examinen.

 

Una garantía de cumplimiento es el nombramiento de un delegado de protección de datos (DPD), por lo que si el encargado lo tiene, también tiene una presunción de cumplimiento efectivo, al actuar como garante.

 

En cuanto al contrato de encargado de tratamiento, aconsejamos que se haga por separado al de prestación de servicios que corresponda, pues éste último puede tener datos confidenciales que no es preciso revelar.

 

Hay encargados del tratamiento que son muy celosos de su documentación. Lo entendemos. Pero sin un mínimo de prueba del cumplimiento no es recomendable contratar, por mucho que nos juren y perjuren que cumplen, aun por escrito.

 

 

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Política de privacidad

Esta política de privacidad ha sido adoptada en cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Responsable Emerge Avezalia, SL +
Finalidad Información usuarios web y prestación del servicio al cliente +
Legitimación Ejecución contrato, interés legítimo y consentimiento del interesado +
Destinatarios Cesiones legales y encargados del tratamiento +
Derechos Acceso, rectificación, supresión, oposición y portabilidad de los datos +