Cuatro años del RGPD: cómo mejorar la gestión de la privacidad

Santiago Cruz Roldán    31 mayo, 2022
"Privacy Please" sign

El conocido Reglamento UE 679/2016 General de Protección de Datos (en adelante RGPD), cumplió el pasado 25 de mayo cuatro años. El RGPD establece el conocido principio de “accountability” o “responsabilidad proactiva”. Este principio obliga a cualquier entidad, pública o privada, a cumplir con los requerimientos legales exigibles en la normativa de protección de datos y tener capacidad de acreditar su cumplimiento.

Este principio también está siendo acogido en los países de Hispanoamérica. Por ejemplo, en Colombia, la Superintedencia de Industria y Comercio, como Autoridad de Control, tiene publicada la “Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability)”. Y en Ecuador, la Ley Orgánica de Protección de Datos Personales regula también con el principio de “responsabilidad proactiva y demostrada” que exige al responsable de tratamiento acreditar “haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y corregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo (…)”.

Cómo cumplimos con el principio de accountability

Para cumplir con este principio de responsabilidad proactiva, accountability o responsabilidad demostrada, se debe implementar un programa integral que permita cumplir con la normativa, lo que se debe traducir en disponer un Sistema de Gestión que integre las políticas y procedimientos necesarios conforme a los criterios de mejora continua.

El establecimiento de un sistema de gestión para la protección de datos es clave para las disposiciones generales de rendición de cuentas que recoge el RGPD y las legislaciones que se están inspirando en este principio.

Cualquier entidad podría adoptar el esquema que propone el estándar ISO/IEC 27701:2019; recientemente traducida a norma “UNE-EN ISO/IEC 27701:2021 de Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. (ISO/IEC 27701:2019).”

Con independencia de que el estándar puede ser implementado por cualquier tipo de organización, es especialmente recomendable, en aquellas grandes empresas o grupos de empresas con presencia en distintos países con normativas dispares, en tanto que facilita la gestión de las obligaciones exigibles en protección de datos.

Algunas características de la norma ISO/IEC 27701:2019

Veamos algunas características de esta norma y comprobaremos a simple vista la mejora que obtiene la organización en la gestión de la protección de datos:

1. Sistema de Gestión enfocado en la Protección de la Privacidad

Esta norma tiene por objeto el establecimiento de un Sistema de Gestión enfocado en la Protección de la Privacidad (SGPI) o Privacy Information Management System (PIMS), en inglés, que se configura bajo los criterios de mejora continua o Ciclo de Deming. La Norma alude en todo momento a Información Personal Identificable (IIP) como elemento fundamental a proteger.

Es recomendable tanto para aquellas entidades que actúen con el rol de responsables del tratamiento, como para aquellas que actúen como encargadas del tratamiento. Si analizamos la estructura del estándar, en el apartado 7, se incorpora la Guía adicional de la Norma ISO/IEC 27002 para el responsable del tratamiento de IIP y en el apartado 8 la Guía adicional de la Norma ISO/IEC 27002 para el encargado del tratamiento de IIP.

Es decir, en estos apartados, nos encontramos los controles específicos que han de tenerse en cuenta según el rol relacionado con los datos de carácter personal. Indudablemente, si atendemos a los controles que las organizaciones deben implementar para cumplir con el estándar ISO/27701, se obtendrá un mayor nivel de vigilancia y supervisión de aquellas cuestiones que ocasionan un mayor número de sanciones como por ejemplo pueden ser, entre otras:

  • no contar con los consentimientos de los interesados,
  • no haber suministrado información a los interesados;
  • no existir base de legitimación para el tratamiento de datos personales.

El establecimiento de controles sobre estos aspectos disminuye la posibilidad de la comisión de hechos sancionables por las autoridades de control de protección de datos.

El carácter internacional del estándar nos permite sistematizar bajo un mismo criterio la forma de proceder de la organización. Así, por ejemplo, seguirá el mismo criterio o patrón, el Registro de Actividades de Tratamiento, las Evaluaciones de Impacto, o la forma de informar a los interesados.

2. Es una extensión de la norma 27001

El estándar ISO/IEC 27701 tiene sus raíces en las normas ISO 27001 y 27002 con las que está íntimamente vinculado.  Está sujeta al alcance que la entidad haya diseñado para la ISO/IEC 27001.

Si vemos la estructura del estándar, apreciamos que en el apartado 5 se especifican los Requisitos específicos del SGPI relacionados con la Norma ISO/IEC 27001, y en el apartado siguiente, encontramos, con idéntica sistemática, las cuestiones específicas que el SGPI ha de tener en cuenta en su relación con el estándar ISO/IEC 27002. El Sistema de Gestión sobre Privacidad de la Información tiene su origen en el Sistema de Gestión de Seguridad de la Información (SGSI).

3. Es una norma certificable

Si una entidad tiene certificado su SGSI conforme a la norma ISO/IEC 27001, demuestra confianza frente a terceros en la seguridad establecida; con la certificación del Sistema Gestión sobre Privacidad de la Información conforme a ISO/IEC 27701 se obtiene un nivel de confianza sobre la protección de datos en la entidad, ligado al alcance que desde la organización se haya decidido establecer.

Si una empresa logra certificar su SGPI se sitúa en una situación que permite acreditar y evidenciar frente a terceros mayor confiabilidad en el tratamiento que ofrece a los datos de carácter personal.

De cara a la selección de proveedores, el artículo 28 del Reglamento General de Protección de Datos exclusivamente permite contratar con aquellos que ofrezcan “garantías suficientes”; en los procesos de homologación o verificación de proveedores, no cabe duda alguna que un proveedor que haya obtenido esta certificación será elegido con preferencia al que no cuente con ella.

Conclusión

Cualquier organización que decida establecer un Sistema de Gestión sobre Privacidad de la Información va a lograr una evidente mejora en la gestión de las obligaciones que le impone la normativa de protección de datos.

Como efecto directo, supone la minimización del riesgo de incumplimiento normativo. Uno de los elementos más importantes es que la organización se verá beneficiada de una mejora en cuanto a la sistematización de sus procedimientos y políticas para la protección de los datos de carácter personal.

Desde luego, la posibilidad de acreditar el cumplimiento de la norma, conforme al principio de responsabilidad proactiva o responsabilidad demostrada se ve claramente favorecido con el establecimiento del Sistema de Gestión sobre la Privacidad de la Información conforme al estándar ISO/IEC 27701.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.