La RGPD no debe ser una normativa de mero cumplimiento. Las empresas no deben relajarse en su control de la privacidad.
Se puede concluir del pensamiento de Heráclito de Éfeso (s.v / a.c ) que “nunca cruzaremos dos veces el mismo río”.
Esta sentencia cobra especial relevancia en el ámbito del cumplimiento regulatorio, donde las organizaciones deben gestionar de manera simultánea la nueva regulación (“implantar la letra de la norma”) y las expectativas supervisoras (“demostrar cumplimiento del espíritu de la misma”) en un entorno cada vez más complejo y cambiante.
En el caso específico de la normativa en protección de datos, una vez superada la ardua fase de adaptación a los requerimientos de Reglamento General de Protección de Datos (RGPD), y publicada la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), el esfuerzo realizado hasta la fecha no debe llevar a las organizaciones a relajarse respecto al cumplimiento del “espíritu” de la misma.
Sin embargo, habernos adaptado “con éxito” no garantiza la correcta evolución del cumplimiento en el corto y medio plazo. Este riesgo ya se plantea en el propio Reglamento, que insta al delegado de protección de datos (DPO) a “supervisar el cumplimiento de lo dispuesto”.
El reto de la RGPD
El principal reto durante la adaptación ha sido la necesidad de gestionar la enorme cantidad de impactos en la organización (tecnológicos, operativos, jurídicos y de cultura) en el marco temporal establecido por la directiva, así como las interrelaciones entre las decisiones a tomar.
Si el diseño del modelo de control posee la robustez deseable, la premisa asumida es que la mayoría de los aspectos potencialmente sujetos a revisión estarían ya gestionados por el mismo
En este sentido, la entidad debe evitar un posicionamiento reactivo (donde el responsable en materia de privacidad sea un mero receptor de dudas, incidencias y consultas supervisoras).
Es imperativo que el DPO promueva la “responsabilidad proactiva”, de manera que se pueda demostrar de manera objetiva el cumplimiento de los principios de protección de datos por parte de los diferentes actores de la organización.
Por lo tanto, el DPO debe impulsar la creación de un modelo de control de amplio alcance en la organización, orientado a la detección de debilidades en el diseño y eficacia operativa de las actividades de cumplimiento en materia de protección de datos.
El modelo de control adecuado
Los resultados de este modelo de control permitirán la puesta en marcha de planes de acción que mitiguen las debilidades identificadas y faciliten la mejora continua.
Un adecuado modelo de control deberá maximizar las siguientes características de su diseño: su operación continua, el grado de automatización, el carácter cuantitativo de sus resultados y la cobertura funcional del mismo.
Merece ser destacado que la cobertura funcional del modelo de control es un elemento clave para el éxito del mismo.
Independientemente de las particularidades del modelo de gestión implantado en cada organización, el diseño del control debe permitir obtener información relevante de los mecanismos implantados para gestionar las diferentes exigencias de la normativa en protección de datos. Sin ánimo de ser exhaustivos, son componentes críticos del mismo:
- El circuito de ejercicio de derechos de los interesados.
- La correcta puesta a disposición del deber de información.
- La evolución de los consentimientos.
- La situación de lo DPIAs.
- El registro de tratamientos.
- La evolución de los incidentes de seguridad.
- Gobierno de terceros.
El modelo de control no solo es una gran herramienta para demostrar “responsabilidad proactiva” e implantar un enfoque de mejora continua. Debe ser un recurso clave como soporte en una potencial inspección por parte del supervisor.
Ante una inspección…
Ante un escenario de respuesta ante inspección, el modelo debe darnos soporte en dos vertientes relevantes: por un lado, es evidencia de la madurez en la gestión del riesgo de privacidad alcanzado por la entidad y, por otra parte, debe minimizar el impacto operativo que las peticiones por parte del equipo inspector pudieran ocasionar.
Si el diseño del modelo de control posee la robustez deseable, la premisa asumida es que la mayoría de los aspectos potencialmente sujetos a revisión estarían ya gestionados por el mismo.
Por concluir, un modelo de control operando con las características y alcance que hemos comentado, nos ayudará a navegar en las obligaciones en materia de protección de datos cada vez con mayor certidumbre.
Si bien el río nunca será el mismo, tendremos unos cimientos sólidos sobre los que construir el puente que necesitemos en cada momento.
Por Fran Costas Bargados – Socio de Risk Advisory – Deloitte