La protección de datos es una materia muy compleja. Cada vez más.
Hace unos años, una vez hecha la adecuación inicial, el mantenimiento normal era relativamente asequible: nuevo fichero en la AEPD, nueva política de privacidad, nuevo contrato de encargo de tratamiento, implantar medidas legales y de seguridad, y registrarlo todo en el Documento de Seguridad.
Con el RGPD la cosa se complicó bastante:
- Ya no se inscribe un fichero con un formulario preconcebido por la AEPD, sino que debe mantenerse un inventario propio con un nivel de detalle mucho mayor.
- La elaboración de la política de privacidad requiere una reflexión previa sobre cuestiones como la legitimidad del tratamiento, el plazo de conservación de los datos, o cómo mostrar la información para que sea comprensible para cualquier usuario.
- Los contratos de encargo de tratamiento se enquistan por debates estériles como si es necesario poner un plazo concreto de notificación de brechas al responsable.
- Hay que analizar previamente los posibles riesgos para la privacidad y la seguridad de los datos, valorarlos, implantar medidas legales y de seguridad para garantizar la privacidad por defecto y desde el diseño, decidir si debe hacerse un PIA y, en su caso, ejecutarlo a la mayor brevedad posible mientras sientes el incremento de la frecuencia cardiaca de tu cliente por los posibles retrasos que ocasione el PIA (sobre todo si hay que llegar a la Consulta Previa a la AEPD).
Además, mientras que antes los proyectos se limitaban a abrir una nueva web con un par de formularios, ahora nos encontramos habitualmente con megaproyectos revolucionarios a base de big data, analítica publicitaria… y, si puede ser, reconocimiento facial de menores católicos con disforia de género afiliados a las juventudes de algún partido político.
Supervisando todo esto debe estar el DPO, cuya función no es ayudar a la empresa a torear riesgos legales, sino ayudar a la empresa a llevar a cabo sus proyectos sin vulnerar los derechos de los usuarios.
En definitiva, cada vez más, hace falta un conocimiento y una dedicación muy elevada para lograr un alto grado de cumplimiento.
Sí, es cierto que la presión regulatoria es cada vez mayor y que a veces no podemos hacer frente a un servicio de calidad. Pero cuando contratamos servicios low-cost, tenemos que ser conscientes de que nos están dando menos por menos. Menos coste, sí… pero con menos calidad, dedicación o capacidad.
Del mismo modo que la mayoría NO pondríamos nuestra salud en manos de un médico low-cost, hay que pensárselo muy bien antes de poner tu empresa y tus riesgos legales en manos de un asesor/consultor/auditor/DPO low-cost.
Quizá el daño no sea inmediato. Quizá tengas suerte y el daño nunca se materialice.
O quizá te acabes arrepintiendo. ¿Te sientes afortunado?
José Carlos Moratilla
Business Developer Manager