Sistema de compliment de la normativa de privacitat


Manuel Castilleja Toscano     01/06/2023

Per què el sistema de gestió de compliment de la normativa de privacitat és una inversió, i no una despesa?


Una implantació adequada d'un sistema de compliment GDPR/LOPDGDD duta a terme per un professional de la privacitat suposa una inversió perquè implica el retorn d'un rendiment, que vindrà donat, entre d'altres, en forma de:

  • Disposar de la informació adequada per a la presa de decisions en la gestió dels riscs derivats del tractament de dades personals.
  • Millorar l'organització interna de l'entitat i controlar-los.
  • Millora de la reputació i la imatge pública de l'entitat, per la seva sensibilització i conscienciació amb el compliment normatiu, en aquest cas en matèria de protecció de dades personals i la protecció dels drets i les llibertats dels interessats.
  • Evitar o reduir sancions administratives (multes GDPR) i penals (delictes contra la intimitat personal i familiar, delictes de revelació de secrets).
  • Reducció de costos de gestió per una utilització ineficient dels recursos i actius de la informació (prevenció i respostes davant de ciberatacs, conservació i emmagatzematge d'informació legalment i empresarialment innecessària, etc.).

LES 4 FASES DEL SISTEMA DE COMPLIMENT


FASE 1: PLANIFICACIÓ


Per dur a terme la implantació hem de conèixer l'estructura interna de l'organització, determinar-ne la situació actual en l'àmbit que ens ocupa i definir objectius a través de:

  • Entrevistes amb els responsables de totes les unitats gestores o departaments de l'organització relacionades amb el tractament de dades personals, per conèixer l'operativa de l'organització, i així determinar quines activitats de tractament duen a terme, el tipus de dades personals que inclouen i com en fan ús.
FASE 2: IMPLANTACIÓ


Com a resultat de les entrevistes es procedirà a la fase dimplantació per tal dacreditar una actitud conscient, diligent i proactiva enfront dels tractaments de dades personals que es duen a terme a través de:

  • Registre dactivitats de tractament (RAT).
  • Normes internes (polítiques, protocols...).
  • Circulars amb la informació sobre el tractament i textos legals.
  • Contractes de confidencialitat (personal i encarregats del tractament).
  • Metodologia de gestió de riscs.
  • Formació i sensibilització als intervinents en el tractament.
  • Inventaris dactius, programari, maquinari, suports, mobiliari.
  • Registres, drets, bretxes, entrada i sortida de suports.
  • Designacions i responsabilitats, DPO, responsable de privadesa, comitè de privadesa, …
FASE 3: REVISIÓ


Després de la implantació es procedirà, periòdicament, al control de si l'entitat compleix amb allò establert al RGPD en els tractaments de dades personals que realitza, a través d'auditories internes o externes per a:

  • Verificar que les obligacions legals, tècniques i organitzatives implementades per l'organització es duen a terme.
  • Identificar quines, en base a la revisió realitzada, es recomana procedir a actuar per resoldre les possibles incidències detectades sobre la base de les evidències generades.
FASE 4: ACTUACIÓ


Totes les no conformitats derivades de les auditories realitzades s'han de corregir a través de:

  • Pla d'Accions Correctives (PAC), que serà l'evidència que s'han corregit (tractat i resolt) totes les no-conformitats.

I fruit de les revisions de la gestió de riscos o EIPD que hagin tingut lloc en aquests processos, com a conseqüència dels canvis que s'hagin produït en els tractaments i que, per tant, hagi implicat una variació en els riscos:

  • Cal adoptar les mesures de seguretat proposades.