Los nuevos entornos empresariales, junto a las nuevas disciplinas jurídicas y el régimen sancionador correspondiente hacen que las organizaciones planteen nuevas estrategias de protección ante las consecuencias de un potencial incumplimiento, habitualmente en forma de sanción económica, más allá de una posible dañada reputación.
Es aquí donde se resalta la funcionalidad de un programa de compliance para identificar los riesgos propios de una empresa respecto al cumplimiento del RGPD. Algunos de estos riesgos podrían estar relacionados con, por ejemplo, la correcta obtención del consentimiento por parte de los afectados en las empresas dedicadas a la publicidad, las cesiones de datos en redes sociales, o las transferencias internacionales de datos en grandes grupos de empresas.
En el RGPD, nos encontramos un término cuyo significado va más allá del compliance y permite identificar cuándo una empresa está –fehacientemente- cumpliendo con la normativa sobre protección de datos: la accountability o responsabilidad proactiva.
Este término puede entenderse de forma complementaria al compliance, o incluso un concepto que le supera, pero se vuelve fundamental a la hora del cumplimiento porque ahora para los reguladores no es suficiente con cumplir, sino que se debe demostrar dicho cumplimiento.
Esta tarea debe hacerse a todos los niveles de la empresa en tanto en cuanto les sean de aplicación el RGPD, por ejemplo, llevar un registro organizado documental en formato papel o electrónico donde se encuentre la documentación que acredite que los clientes han prestado su consentimiento, la documentación respecto a los resultados de las evaluaciones de riesgo y las medidas de seguridad adoptadas y su plan de implantación así como evidencia de su operación, almacenamiento adecuado y de fácil consulta de los contratos de encargado de tratamiento que tenga la sociedad, el documento de procedimientos de ejercicio de derechos por parte de los afectados, o la elaboración de un registro de actividades de tratamiento (RAT). Ante esto, modelos de gestión como ISO/IEC 27001, que nos permite implementar y operar un Sistema de Gestión formal y documentado, puede ser de gran ayuda a las organizaciones, además que permite una opcional e interesante certificación que podría ser de interés en el ámbito competitivo, así como servir como atenuante ante posibles incidentes o incumplimientos.
Demostrar el cumplimiento es una tarea que obliga a los responsables a controlar de una manera más eficaz la gestión y control de los datos, a su vez que este requisito forma parte de las obligaciones que impone el RGPD para demostrar ante las autoridades de control que tienen “los deberes hechos” y son plenamente responsables respecto al tratamiento de los datos que realizan.
Antonio Martínez
Business Development Manager
Áudea Seguridad de la Información