Cumplimiento de las normativas sobre protección de datos. Como justificarlo.
Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y su obligado cumplimiento para todas aquellas organizaciones (empresas de cualquier forma jurídica y tamaño, asociaciones, Administración Pública, etc.) que traten datos personales en el ejercicio de su actividad es necesario poder justificar su correcta aplicación.
Esta obligación no solo se debe de manifestar desde el responsable de tratamiento hacía el usuario o interesado, sino que también repercute en todo encargado de tratamiento.
Pero, ¿qué es un encargado de tratamiento?. Es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable que conlleva el tratamiento de datos personales por cuenta de éste.
El RGPD, en su artículo 28.1 define la responsabilidad del responsable de tratamiento en la selección de un encargado de tratamiento. Lo índica tal que así:
Artículo 28.1: » Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.»
De acuerdo con este artículo un responsable de tratamiento no debería contratar los servicios de ningún encargado de tratamiento que no cumpla ni tenga establecidas las obligaciones a las que se refieren las normativas sobre protección de datos vigentes. De ahí la importancia de poder verificar y justificar el cumplimiento de la organización.
Existen diferentes métodos que pueden servir como medio de justificación ante un responsable de tratamiento. Los más habituales son los siguientes:
- Certificado de cumplimiento emitido por la empresa que haya realizado la implantación de las normativas en la organización: Aunque es uno de los métodos más utilizados cabe destacar que tampoco es un método 100% fiable, ya que tampoco asegura que la implantación se haya realizado de manera correcta.
- Cuestionario de evaluación: El responsable envía al encargado un cuestionario de evaluación que contiene determinadas cuestiones con el propósito de averiguar si éste último aplica las obligaciones exigidas. Este método tampoco es el más seguro, pues el encargado puede mentir en las respuestas.
- Auditoría: El encargado podría permitir que el responsable realizase una auditoría sobre el grado de cumplimiento. Esta auditoría podría realizarla el mismo responsable o contratar los servicios de un profesional externo asumiendo el coste. Es uno de los métodos más fiables, aunque el de mayor coste económico.
- Formación: Poder justificar que el personal de la organización tiene los conocimientos apropiados para garantizar el correcto tratamiento de datos personales y su seguridad es uno de los métodos que se considera más fiable. Para lograr esto el encargado debe ofrecer a su personal la formación específica en esta materia, siendo posible, a través de las certificaciones de capacitación obtenidas, justificar ante el responsable su correcta adaptación y cumplimiento.
Este último método es uno de los más fiables, ya que ofrece al responsable de tratamiento una significativa garantía de que el personal del encargado de tratamiento implicado posee los conocimientos adecuados y conoce y aplica los procedimientos y protocolos exigidos por las normativas sobre protección de datos y de seguridad de la información.
En Informa Consultores te ofrecemos un asesoramiento personalizado, tanto para la implantación como para las auditorías, impartiendo formación personalizada a la realidad de la actividad de tu organización.
Sergio Torregrosa
Consultor en Implantación de la RGPD