La piedra angular del RGPD es el principio de responsabilidad proactiva.
Así se ha expresado Pablo González Melgar, experto en esta materia en el Tercer Encuentro de Consejeros al que, convocados por el Instituto de Auditores Internos (IAI), han acudido cerca de 100 consejeros de compañías españolas de todos los sectores económicos para analizar, entre otras cosas, los retos del Reglamento General de Protección de Datos, de implantación obligatoria a partir del próximo 25 de mayo para todas las organizaciones establecidas o con relaciones comerciales con la Unión Europea.
El Reglamento General de Protección de Datos no delimita ni impone las medidas de seguridad que garantizan la privacidad. Esto puede ser una ventaja, al dar libertad a la empresa para que obre y adapte las medidas al contexto de la misma, o un inconveniente, al poder verse perdida o no implantar el reglamento de forma correcta. Las exigencias de cumplimiento, y las penalizaciones en caso contrario pueden tener consecuencias económicas (hasta 20 millones de euros o el 4% de la facturación anual), legales y reputacionales muy importantes.
¿Qué es la privacidad por defecto?
La privacidad por defecto consiste en ofrecer las máximas garantías de privacidad por defecto en esas apps, programas o aplicaciones y en general productos o servicios que vayan a tratar datos personales, es decir, si hay varias configuraciones de privacidad, deberán venir marcadas por defecto aquellas que ofrezcan mayores garantías de privacidad al interesado.
La privacidad por defecto implica además:
- La minimización de datos, es decir, se recogerán los mínimos datos posibles para que el producto o servicio sea posible y pueda cumplir su finalidad.
- El control de accesos, solo el personal que realmente necesite acceder a los datos para el desarrollo de sus labores profesionales tendrá acceso a dicho datos y por supuesto no se cederán a terceros si esta cesión no es necesaria, no es obligatoria o no está explícitamente informada y consentida por el interesado. Para ello se pueden aplicar técnicas de seudoanonimización
- Los plazos de conservación de los datos, deberán estar informados, se ceñirán a lo estrictamente necesario (extensión del tratamiento) y solo se conservarán más allá, para atender posibles responsabilidades nacidas del tratamiento en base a los plazos legales de conservación.
- Transparencia, entendida como proceso de información al interesado sobre los tratamientos de sus datos personales. información clara, concisa y entendible.
Los consejos de administración han de supervisar que el cumplimiento del RGPD tiene un enfoque de privacidad basado en riesgos y que proporciona una seguridad razonable de que se han destinado los recursos necesarios para proteger los derechos y libertades de las personas físicas. El IAI ha presentado el documento «Supervisión del Reglamento General de Protección de Datos, 7 preguntas que un Consejero debe plantearse«, que aborda las cuestiones clave para garantizar la conformidad con el nuevo Reglamento.
La primera es que no es solo una cuestión de ciberseguridad, sino que se ocupa de igual forma de los procesos de recogida, almacenamiento, uso y divulgación de estos datos por parte de las organizaciones, garantizando, con ello, los derechos y libertades de las personas físicas. Esta norma es más estricta con respecto al consentimiento, siendo necesario que sea “expreso” en los procesos de recogida de datos.
La segunda hace referencia a que la formalización de un Modelo de Gobierno de la Privacidad es un factor crítico de éxito. La definición de este modelo presentará el detalle de las funciones y obligaciones de las distintas partes interesadas para garantizar el cumplimiento de los principios, derechos y obligaciones recogidos en la norma.
La tercera habla de las organizaciones cuya actividad principal sea la monitorización de datos y el procesamiento de grandes volúmenes de datos sensibles, que se verán obligadas a la designación formal de un Delegado de Protección de Datos (DPO).
La cuarta recuerda que uno de los principios fundamentales recogidos en el Reglamento se centra en las Evaluaciones de Impacto de Privacidad. Esta evaluación debe ser realizada tanto para los procesos existentes como para las nuevas iniciativas de tratamiento de datos siempre que pudiera derivarse un alto riesgo para los derechos y libertades de las personas físicas.
La quinta hace alusión a que la regulación prevé un papel prioritario al proceso de implantación de medidas técnicas que eviten cualquier escenario de fuga de datos (fundamentalmente, el cifrado de los datos), y obliga a las compañías –responsables del tratamiento– a notificar al Órgano de Control español cualquier incidente de seguridad (data breach) que se presente en materia de protección de datos en un periodo máximo de 72 horas.
La sexta pregunta subraya que, en última instancia, son los empleados los que llevan a cabo el tratamiento de los datos de carácter personal en el desempeño de sus actividades cotidianas. En este sentido, todo Modelo de Gobierno de la Privacidad debe quedar sustentado por la correcta planificación de un programa de concienciación de los empleados, a través del cual, se puedan presentar los escenarios de riesgos.
Por último, la séptima pregunta que deben hacerse es si se ha definido formalmente un modelo de relación entre el DPO y el área de Auditoría interna, ya que con las funciones de aseguramiento definidas, mejorará la eficiencia y efectividad del Modelo de Gobierno de la Privacidad, y será posible compartir las sinergias entre los procesos de monitorización (DPO) y Auditoría Interna.
FUENTES:
https://www.masprivacidad.com
https://diarioresponsable.com/