Herramientas de AuditorÃa de Protección de Datos
En una auditoría de protección de datos de carácter personal, se verifica que el tratamiento que en nuestra empresa u organización se hace de los datos, está dentro de la legislación, e incluso se puede ir más allá, estableciendo parámetros más rigurosos a la hora de proteger los datos de nuestros empleados, clientes, proveedores, colaboradores, etc.
A lo largo de la unidad se han compartido muchos documentos de consulta sobre los distintos aspectos que cubre la legislación en protección de datos, como directivas, guías, la mayor parte de ellas creadas por la AEPD, y que serán de gran utilidad a la hora de interpretar la legislación y aplicarla convenientemente. Finalmente, vamos a poner en común un procedimiento para llevar a cabo dicha validación en el contexto de una empresa privada u organización, que es el caso más común, ya que para las administraciones públicas, es de obligado cumplimento la designación de un DPD, que cumpliría esta función.
Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:
- Si el tratamiento de los datos corre a cargo de una autoridad u organismo público.
- Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala.
- Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
En el caso de que la organización a auditar se encuentre dentro de alguno de estos supuestos, la gestión de las actividades y operaciones sobre los datos ha de ser llevada a cabo por una persona que tenga la certificación de DPD, no basta con ser auditor/a ni con tener experiencia en la auditoría de sistemas informáticos.
Téngalo en cuenta para cumplir con la legislación, si bien, siempre debería de nombrar a alguien dentro de la organización con conocimiento para validar las acciones del DPD subcontratado.
Herramienta "Facilita_RGPD" para datos de escaso riesgo
Tenga en cuenta que la utilización de Facilita_RGPD se limita a aquellas entidade u organizaciones consideradas de "Escaso Riesgo". es decir, que no están obligadas a llevar a cabo un análisis de riesgo.
Listado de cumplimiento
A grandes rasgos, la siguiente infografía elaborada por la AEPD resume los pasos a seguir para validar el cumplimiento en el caso de que no podamos usar la herramienta Facilita_RGPD
Más concretamente, podemos servirnos de este Listado de Cumplimiento, elaborado por la AEPD, que nos ayudará a garantizar, entre otros:
- Cumplir los principios relativos al tratamiento (licitud, consentimiento, categorías especiales de datos...)
- Cumplir los derechos del interesado/a (transparencia, información, ARCO, etc.)
- El Responsable del Tratamiento cumple con sus funciones.
- La protección de datos se lleva a cabo desde el diseño y por defecto.
- Se lleva a cabo el Registro de Actividades de Tratamiento.
- Se notifican las brechas de seguridad dentro de lo establecido.
- Se realiza una EIPD.
- El DPD cumple con sus funciones.
- La transferencia de datos se hace dentro de lo establecido.
En este procedimiento, vamos validando que todas las respuestas a las diferentes cuestiones del listado "cumplen" con la norma, y de no ser así, ya sabemos que debemos implementar medidas para adaptarnos a lo establecido.