El reglamento general de protección de datos de la Unión Europea aprobado en 2016 y la ley orgánica de protección de datos y garantía de los derechos digitales de España aprobada en 2019 abren amplias oportunidades de consultoría y soporte por parte de las funciones de compliance y asesoría legal. La gestión de riegos de privacidad y las técnicas de protección de datos requieren una capacitación técnica específica para los abogados y los oficiales de cumplimiento. Este artículo permite asesorar sobre las evidencias de compliance necesarias en el tratamiento de datos personales. De esta forma, permite simplificar la adopción y la operación de controles de compliance en la práctica, principalmente, por las funciones de sistemas, marketing y recursos humanos.
El cumplimiento de las regulaciones de protección de datos personales se basa en el principio de responsabilidad activa que requiere estar en condiciones de demostrar proactivamente la implementación efectiva de medidas de control adecuadas. Estas medidas de control se basan en mecanismos técnicos de cyber-seguridad de datos y el desarrollo y monitoreo de políticas y procedimientos sobre privacidad. Los controles deben adecuarse a los riesgos de filtración de datos personales por la organización o sus terceros y a la violación de derechos y garantías a la privacidad de los sujetos interesados.
La responsabilidad activa requiere la generación de numerosa documentación que evidencie la implementación y la ejecución de controles de compliance. Si bien estas medidas son de responsabilidad del consejo de administración, delegadas en el encargado de protección de datos o algún rol equivalente cuando no es requerido, las funciones de compliance y de asesoría legal tienen la oportunidad de ser parte fundamental del soporte y monitoreo. De esta forma, podrán asegurar el cumplimiento de la regulación y de las expectativas de los dueños de los datos personales que son cedidos a la organización.
El reglamento permite extraer las recomendaciones de documentación listadas en este artículo. En la práctica de los países centrales de la Unión Europea y de otros países interconectados por negocios tecnológicos, las organizaciones de todo tamaño han invertido masivos recursos en consultoría y software para cumplir y documentar los nuevos requerimientos de protección de datos desde 2016. La ISO 27001:2013 sobre seguridad de información y la ISO 29134:2017 sobre evaluaciones de impacto en seguridad dan un marco de referencia como mejor práctica sobre la documentación sobre los controles técnicos. La futura generación de mecanismos generales de certificación, guías de auditoria específicas emitidas por las autoridades de aplicación o una amplia jurisprudencia permitirán establecer completamente las evidencias necesarias para demostrar la responsabilidad activa.
Recomendaciones de documentación
La mayor prioridad es evidenciar el tratamiento del consejo de administración o el comité ejecutivo sobre la gestión de los controles de privacidad y compliance. En la práctica requiere la aprobación de un programa de protección y privacidad de datos personales en función del reglamento y sustentado por actas, minutas y agendas de reuniones. Esta evidencia cubre la evaluación de reportes sobre la implementación de medidas técnicas y organizacionales, seguimiento de planes de remediación y de proyectos de implementación así como la aprobación de presupuestos. También pueden evidenciarse con más detalles la asignación de roles sobre compliance y privacidad en las definiciones de puestos, la contratación de expertos y consultores y el involucramiento de otras funciones de soporte como auditoria interna.
De ser necesario o voluntariamente se haya optado por su necesidad, debe evidenciarse cuidadosamente el nombramiento de un encargado de privacidad por acta del consejo. Esto requiere formalizar su reporte independiente dentro del organigrama y un procedimiento de reporte frecuente a los órganos decisorios, la especificación de las funciones delegadas en su contrato y en su descripción de puesto y la asignación de un presupuesto adecuado para los riesgos y la madurez de la cultura de protección de datos de la organización. La calificación del encargado de privacidad requiere asegurar su capacidad y certificaciones y la comunicación a la autoridad de aplicación como la Agencia Española de Protección de Datos. Para controladores o procesadores de datos personales fuera de la Unión Europea, se debe evidenciar la designación y comunicación externa de un representante en la Comunidad Europea.
Los principios del reglamento requieren emitir, difundir, entrenar y monitorear una política de privacidad para el tratamiento de datos personales aprobada por la alta dirección. Esta política debe garantizar el procesamiento legal de datos, la transparencia de la gestión, el aseguramiento de los derechos de los interesados, la minimización del uso de datos, la asignación de las responsabilidades de rendir cuenta por gestión dentro de la organización, y los mecanicismos técnicos para asegurar la integridad, confidencialidad y disponibilidad de datos. En la creación o la actualización de la política de privacidad y sus numerosos procedimientos relacionados, las funciones de compliance y legales pueden reasegurar la cobertura de los nuevos requerimientos normativos. En la práctica, especialmente luego de implementar cambios en sistemas y procesos, requiere ajustar procedimientos relacionados con la clasificación de información, la retención de documentación, los manuales de empleados, la destrucción de datos y la gestión de activos informáticos.
La documentación de los consentimientos para el procesamiento de datos personales requiere establecer un protocolo que pueda demostrar la aceptación anterior a la captura de datos. Asimismo, este protocolo debe establecer cómo tratar los consentimientos de menores verificando la identidad del titular de la patria potestad o tutoría. Es recomendable establecer un responsable funcional para asegurar la integridad de los consentimientos y su resguardo en un ambiente seguro. Este reguardo debe permitir la trazabilidad del consentimiento efectivamente otorgado por el sujeto interesado. En forma similar para la política de privacidad por actividad online, la trazabilidad incluye la dirección IP, información de geolocalización y otros metadatos aceptados por el sujeto interesado.
Un aspecto que requiere especial atención es la documentación sobre la actualización del registro de actividades de procesamiento. Listar el uso, el mantenimiento y la transferencia de datos es un objetivo en constante movimiento en una organización. Por eso se recomienda asignar un dueño a cada tipo de dato para la actualización periódica del registro. Este dueño del dato es también responsable de definir y confirmar frecuentemente los accesos de escritura, edición, borrado y lectura de todos los usuarios a los datos personales bajo su control.
Finalmente, las tareas de documentación comprenden procesos vinculados a la gestión de solicitudes de acceso a datos personales, la actualización de las cláusulas de los contratos con proveedores tecnológicos y sobre transferencias entre compañía, las evaluaciones de impacto, y el protocolo de reacción frente a fugas de información.
La posibilidad de efectuar auditorias de cumplimiento y de corporate defense dependen de la documentación efectiva de controles técnicos y organizaciones sobre la seguridad de datos personales. Esta documentación debe ser completa, aún ante excepciones, sin llegar a duplicar copias o evidencias de control por los departamentos. Centralizar la documentación referida a la gestión de datos personales permite evitar duplicaciones de controles y evidencias.
Si quieres profundizar en esta materia que forma parte de nuestro Programa Superior de Compliance, te invitamos a pedir más información en el siguiente link https://landings.ie.edu/execland-law-programa-superior-compliance
No hay comentarios.