Decálogo para establecer un Sistema de Gestión de la Privacidad

Decálogo para establecer un Sistema de Gestión de la Privacidad

sistema gestion de la privacidad

  1. Identificar y registrar el sistema de tratamiento de datos pretendido

El registro de ficheros ante la AGPD ha desaparecido. Se ha cambiado por lo que el nuevo Reglamento ha definido como “Registro de Actividades de Tratamiento”. Se llevará a cabo de forma interna y lo gestionará el responsable del tratamiento. Este registro debe contener: todos los datos que se traten en la organización; el lugar de almacenamiento; las empresas que acceden a él; si está subcontratada alguna parte de la gestión del mismo; las cesiones; si hay transferencias internacionales, etc.

Si en el fichero se tratan datos con un nivel especial de protección, se deberá llevar a cabo una “evaluación de impacto para los datos personales”, teniendo en cuenta los perjuicios que pueden ocasionarse a los afectados (personas físicas titulares de los datos). En determinados casos será necesario solicitar autorización a la AGPD.

  1. Nombrar un Delegado de Protección de Datos

Siempre que se traten categorías especiales de datos, y bajo otra serie de circunstancias (como el tratamiento indiscriminado o a gran escala de datos personales), será obligatorio nombrar a un Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés). Está figura debe tener unos conocimientos precisos en materia de protección de datos y, además, debe contar con cierta independencia y responsabilidad en cuanto al ejercicio de sus funciones.

Dentro de esas laborales de nombramiento, es recomendable la adscripción a determinados códigos de conducta sectoriales, que ayuden a un mejor cumplimiento de las obligaciones establecidas en esta normativa.

  1. Presentar información y pedir consentimiento al interesado

Un aspecto fundamental dentro de la nueva normativa, que será la base legal de la mayoría de los tratamientos, es el consentimiento del afectado. El nuevo Reglamento tiene dos características fundamentales: la privacidad desde el diseño y la privacidad por defecto. Es decir, los titulares de los datos son los dueños de su privacidad: pueden decidir sobre cada aspecto de la misma y, también, que uso se va a dar a sus datos. El término “por defecto” hace referencia a que, en caso de silencio, se entiende como NO prestado el consentimiento.

La gestión de las finalidades (el uso que se va a dar a los datos) también tiene mucha importancia. Es obligatorio que cada finalidad adicional (por ejemplo, el envío de comunicaciones comerciales) se encuentre claramente separada y tenga su propia aceptación. No sirve que se haga por defecto (que pongamos casillas ya marcadas o nos basemos en el silencio o la inacción). La nueva normativa refuerza la necesidad de que la persona dé un consentimiento claro y afirmativo.

  1. Realizar acuerdos contractuales con terceros encargados del tratamiento

Igual que con la anterior normativa, las relaciones con los encargados del tratamiento tienen que encontrarse reguladas por un contrato. Podemos hacerlo de dos formas: subcontratando un servicio para minimizar un riesgo o imponiendo al encargado del tratamiento unas medidas propias de seguridad.

Además, se facilita la transferencia internacional de datos. Deja de ser necesaria la autorización del director de la AEPD, siempre que se firmen las cláusulas contractuales tipo aprobadas por la Comisión Europea.

  1. Realizar análisis de riesgos, para el interesado, ante la pérdida de confidencialidad, integridad o disponibilidad de sus datos (Magerit, ISO 31000, etc.)

Para saber cuáles son las medidas de seguridad que es necesario aplicar a los diversos tratamientos, hay que analizar los riesgos que pueden afectar a la organización y a los usuarios. Una vez analizados, hay que imponer medidas de seguridad y control que permitan reducir los niveles de riesgo detectados.

  1. Selección de controles adecuados, comparar con un marco de controles (ISO 27002, ISO 27018, COBIT, etc.)

Una forma de establecer los controles más adecuados para reducir el riesgo es acudir a las diversas metodologías y estándares (que ya existen en el mercado) y aplicarlos al tratamiento. No solo se pueden utilizar para calcular el riesgo, sino que también es posible hacer una selección de controles específicos, que nos ayuden a establecer un marco adecuado y homogéneo. Además, al ser estándares de mercado, todos los clientes podrán conocer el nivel de cumplimiento y compromiso de la organización, con respecto a los datos personales.

  1. Implantación de las medidas técnicas y organizativas resultantes del análisis de riesgos

La aplicación de los controles se traduce en imponer ciertas medidas, de cara a ofrecer un nivel de seguridad que garantice la protección de la información:

  • Medidas organizativas: políticas y procedimientos internos, derechos y obligaciones de los empleados, custodia y mantenimiento de la documentación, etc.

  • Medidas técnicas: control de accesos, criptografía, seguridad física, comunicaciones, continuidad de negocio, etc.

  1. Monitorización y vigilancia continua del sistema

Es importante el control del sistema de forma continua, porque una de las obligaciones que impone la nueva normativa es que se notifiquen las brechas de seguridad en el plazo de 72 horas (desde que se produzcan). Se debe notificar la incidencia a la AGPD, junto con la solución que se ha tomado. Además, en el caso de que se vean afectados datos con un nivel de protección especial, también deberá comunicarse a los usuarios perjudicados.

  1. Auditoría del sistema

Todos los sistemas de gestión deben ser regularmente reevaluados, según los criterios que establezca la organización. El objetivo es analizar el nivel de cumplimiento o, en su caso, las desviaciones que se hayan producido. De estas auditorías salen las oportunidades de mejora y el análisis de vulnerabilidades del sistema.

  1. Certificación del Sistema de Gestión de Privacidad

Es algo voluntario pero muy recomendable. El hecho de que un tercero imparcial establezca que el sistema de gestión es seguro ofrece garantías a los potenciales clientes y usuarios de nuestros servicios. En este caso, la normativa comunitaria no impone la necesidad de auditoría, aunque sí es conveniente de cara a una mayor transparencia y seguridad.

Comments

Comentarios desactivados