¿Cómo puedo demostrar que mi organización cumple con el GDPR?

1. INTRODUCCIÓN

El principio de responsabilidad proactiva es la esencia del GDPR y, conforme al mismo, toda organización es responsable del cumplimiento de todos los principios de protección de datos, así como de demostrar dicho cumplimiento.

El GDPR proporciona un conjunto de herramientas a las organizaciones para que puedan demostrar este cumplimiento, algunas de las cuales deben aplicarse obligatoriamente, por ejemplo, y entre otras:

  • Elaborar un registro de todas las actividades de tratamiento (RAT) que se lleven a cabo como responsables y/o como encargados.
  • Llevar a cabo una adecuada gestión de riesgos de todos los tratamientos.
    • Identificación, análisis y evaluación de estos riesgos.
    • Adopción de medidas de seguridad adecuadas a estos riesgos.
  • Llevar a cabo una evaluación de impacto relativa a la protección de datos cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas.
  • Designar un Delegado de protección de datos (DPO), si fuese obligatorio.
  • Notificar las brechas de seguridad, en caso de que se produzcan.

El GDPR dispone de otros mecanismos para garantizar que se han implementado medidas adecuadas de protección de datos y con ello acreditar su cumplimiento. Estos mecanismos pretenden incrementar la confianza y la transparencia de las actuaciones llevadas a cabo con datos personales por responsables y encargados del tratamiento. Estos instrumentos, conforme al Reglamento son:

  • Auditorías.
  • Códigos de conducta: para asociaciones u organismos que representen categorías de responsables o encargados del tratamiento. (art.40 GDPR).
  • Mecanismos de certificación: para responsables o encargados del tratamiento a título individual (Certificados, Sellos y Marcas de protección de datos). (art.42 GDPR).

2. AUDITORÍAS

Una auditoría es un instrumento a través del cual se lleva a cabo un control (interno o externo) para determinar si la entidad cumple con lo establecido en el GDPR , por tanto, será un garantía de cumplimiento que permitirá verificar que se están llevando a cabo adecuadamente las obligaciones legales, técnicas y organizativas implementadas por el responsable o el encargado del tratamiento y, en su defecto, identificar en cuáles de ellas se debe actuar para resolver las posibles incidencias detectadas en base al análisis efectuado y las evidencias generadas.

Habría que diferenciar entre:

  • Auditoría de seguridad o de medidas técnicas: controles físicos y lógicos del sistema de información.
  • Auditoría legal del tratamiento de datos personales: controles orientados al cumplimiento normativo.

Siendo la auditoría de seguridad, parte intrínseca del conjunto que forma el concepto de auditoría, ya que las medidas técnicas y organizativas adoptadas van orientadas al cumplimiento normativo.

A falta de una regulación específica del GDPR, consideramos que se debería llevar a cabo la auditoría de protección de datos, tanto desde el punto de vista de la seguridad como del cumplimiento normativo.

Cuando no sea posible realizar auditorías externas (de segunda parte) con una periodicidad determinada, se deberían llevar a cabo auditorías internas (de primera parte), con la periodicidad que la dimensión de los tratamientos haga recomendable.

Por tanto, la auditoría permitiría comprobar la eficacia operativa del sistema de cumplimiento, con la obtención de evidencias documentadas y justificadas para cumplir con el deber de diligencia y garantizando, en caso de que fuese preciso, si dicho modelo funciona correctamente.

En el informe de auditoría, se deben indicar:

  • Desviaciones: que deberán resolverse mediante un plan de acciones correctivas (PAC).
    • No Conformidades mayores.
    • No Conformidades menores.
  • Recomendaciones:
    • Hallazgos que en el presente no incumplen un requisito del GDPR, pero potencialmente, si no se tratan, pueden evolucionar hacia No Conformidades.
    • Oportunidades de mejora.
  • Conformidades:
    • Conformidad en sí.
    • Puntos fuertes.

3. CÓDIGOS DE CONDUCTA

Los códigos de conducta constituyen una muestra de lo que se denomina autorregulación, es decir, la capacidad de las entidades, instituciones y organizaciones para regularse a sí mismas.

En materia de protección de datos, son mecanismos de cumplimiento voluntario en los que se establecen reglas específicas para categorías de responsables o encargados del tratamiento con la finalidad de contribuir a la correcta aplicación del GDPR.

Las disposiciones recogidas en los artículos 40 y 41 del GDPR por lo que respecta a los códigos de conducta representan un método práctico, potencialmente rentable y valioso para lograr niveles superiores de coherencia de la protección para los derechos de protección de datos. Dichos códigos pueden actuar como un mecanismo o instrumento que acredite el cumplimiento del GDPR al regular ámbitos como el tratamiento leal y transparente, los intereses legítimos, la seguridad y la protección de datos desde el diseño y por defecto, y las obligaciones del responsable del tratamiento.

Concretamente, pueden contribuir a eliminar las lagunas de armonización que puedan existir entre los Estados miembros en la aplicación de la legislación en materia de protección de datos. Asimismo, brindan la oportunidad a sectores concretos de reflexionar acerca de las actividades comunes de tratamiento de datos y acordar normas de protección de datos adaptadas y prácticas, que satisfagan las necesidades del sector y cumplan los requisitos del GDPR.

Los códigos de conducta pueden ser de alcance nacional, o transnacional si guardan relación con actividades de tratamiento en varios Estados miembros de la Unión Europea (UE).

Todos los códigos aprobados antes de la entrada en vigor del GDPR deben revisarse y evaluarse de nuevo de conformidad con los requisitos del GDPR y solicitarse nuevamente su aprobación, de acuerdo con lo que exigen los artículos 40 y 41 y con los procedimientos descritos en las directrices Directrices 1/2019 sobre códigos de conducta y organismos de supervisión con arreglo al GDPR.

En el caso de transferencias internacionales de datos (TID), los responsables o encargados importadores de datos a los que no se aplica el GDPR podrán adherirse también a códigos de conducta aprobados y con validez de conformidad con el artículo 40 GDPR, a fin de ofrecer garantías adecuadas en el marco de las TID conforme al artículo 46.2.e). Dichos responsables o encargados deberán asumir compromisos vinculantes y exigibles, por vía contractual o mediante otros instrumentos jurídicamente vinculantes, para aplicar dichas garantías adecuadas, incluidas las relativas a los derechos de los interesados.

Los responsables o encargados del tratamiento sujetos al GDPR (es decir, los exportadores de datos) pueden confiar en un código destinado a las TID al que se adhiere un importador de datos en un tercer país para cumplir con sus obligaciones en caso de TID de acuerdo con el GDPR sin necesidad de que dichos responsables o encargados del tratamiento se adhieran a dicho código.

El Comité Europeo de Protección de Datos (EDPB) también ha adoptado unas directrices 04/2021 sobre los códigos de conducta como instrumentos para TID

4. MECANISMOS DE CERTIFICACIÓN

Los mecanismos de certificación en materia de protección de datos, sellos y marcas de protección de datos actuarán como instrumentos para demostrar el cumplimiento de lo dispuesto en el GDPR.

Además de la adhesión de los responsables o encargados del tratamiento sujetos al GDPR, podrán establecerse mecanismos de certificación, sellos o marcas de protección de datos aprobados de conformidad con el art. 42, con objeto de demostrar la existencia de garantías adecuadas ofrecidas por los responsables o encargados no sujetos al GDPR en el marco de transferencias de datos personales a terceros países u organizaciones internacionales a tenor del artículo 46.2.f). Dichos responsables o encargados deberán asumir compromisos vinculantes y exigibles, por vía contractual o mediante otros instrumentos jurídicamente vinculantes, para aplicar dichas garantías adecuadas, incluidas las relativas a los derechos de los interesados.

La certificación será voluntaria y estará disponible a través de un proceso transparente, no limitará la responsabilidad del responsable o encargado del tratamiento en cuanto al cumplimiento del GDPR y se entenderá sin perjuicio de las funciones y los poderes de las autoridades de control competentes, se expedirá a un responsable o encargado de tratamiento por un período máximo de tres años y podrá ser renovada en las mismas condiciones, siempre y cuando se sigan cumpliendo los requisitos pertinentes. La certificación será retirada, cuando proceda, por los organismos de, o en su caso por la autoridad de control competente, cuando no se cumplan o se hayan dejado de cumplir los requisitos para la certificación.

5. OTRAS GARANTÍAS DE CUMPLIMIENTO

5.1. Normas corporativas vinculantes

Las normas corporativas vinculantes (o BCR por sus siglas en inglés, Binding Corporate Rules) son las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta.

Deben ser aprobadas conforme al artículo 47.1 GDPR por la autoridad de control competente de conformidad con el mecanismo de coherencia establecido en el artículo 63 GDPR.

Los grupos empresariales interesados en la elaboración de normas corporativas vinculantes pueden solicitar información en la siguiente dirección de correo electrónico: sgpromocion.autorizaciones@aepd.es

5.2. Sistema de gestión de seguridad de la información (incluida la personal) ISO/IEC 27001 – ISO/IEC 27701

Un Sistema de Gestión de Seguridad de la Información (SGSI), basado en la ISO/IEC 27001 y su extensión ISO/IEC 27701:2019 que proporciona las orientaciones necesarias para la adecuada implementación de un Sistema de Gestión de la Privacidad de la Información (SGPI), ofrece indicaciones de cómo generar evidencias para acreditar el cumplimiento en materia de protección de datos dentro del contexto de la organización.

La certificación en ISO/IEC 27701 junto con ISO/IEC 27001 supondría contar con una prueba independiente del grado de cumplimiento normativo en materia de protección de datos, además de suponer un instrumento para que las organizaciones ofrezcan credibilidad a su compromiso con la privacidad y las obligaciones que implica.

La ISO/IEC 27701 es aplicable a todas las organizaciones que actúan como responsables, corresponsables y/o encargados del tratamiento de información personal de todos los sectores y de todos los tamaños para demostrar el cumplimiento de la normativa de privacidad.

El conjunto de controles de la ISO 27001 para implementar un sistema de gestión de seguridad de la información se extiende a la ISO 27701 para abordar también el cumplimiento de los requisitos de privacidad lo cual puede ayudar a demostrar el cumplimiento del GDPR.

5.3. Esquema Nacional de Seguridad

Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar a conocimiento de personas no autorizadas.

Se podría considerar una primera evidencia de cumplimiento del GDPR cuando el responsable desarrolla una adecuación conforme al ENS, ya que podrá relacionarse con el art. 24.1 del GDPR (específicamente en el sector público y en su caso, sector privado cuando realiza este ejercicio, o le sea de aplicación).

Mediante la auditoria del ENS podría evidenciarse el cumplimiento de controles y medidas técnicas y organizativas adecuadas para mantener el cumplimiento del GDPR y la salvaguarda de los derechos de los interesados.

Se deberá reajustar el proceso de auditoría, conforme a la Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información. De manera que el auditor incluya los elementos complementarios del GDPR en la auditoria.

Las medidas descritas en el Anexo II del Real Decreto 311/2022 pueden ser adecuadas para el control de los riesgos de protección de datos. El ENS es una norma flexible en el sentido de permitir integrar otros procesos y otros controles a los exigidos, de manera que se puede complementar el cumplimiento o alinearlo con más normas. Sus controles pueden ser muy útiles para gestionar los requerimientos del GDPR y puede ser complementario de una ISO 27001.

6. FALSAS GARANTÍAS DE CUMPLIMIENTO

La LOPDGDD en su Disposición adicional decimosexta sobre prácticas agresivas en materia de protección de datos, conforme a lo previsto en el artículo 8 de la Ley 3/1991 de Competencia Desleal, consideran como tales y entre otras las de ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos (certificados, acreditaciones,…) de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.

Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.