Sistema de compliment de la normativa de privacitat
Manuel Castilleja Toscano 01/06/2023 Per què el sistema de gestió de compliment de la normativa de privacitat és una inversió, i no una despesa?
Una implantació adequada d'un sistema de compliment GDPR/LOPDGDD duta a terme per un professional de la privacitat suposa una inversió perquè implica el retorn d'un rendiment, que vindrà donat, entre d'altres, en forma de:
- Disposar de la informació adequada per a la presa de decisions en la gestió dels riscs derivats del tractament de dades personals.
- Millorar l'organització interna de l'entitat i controlar-los.
- Millora de la reputació i la imatge pública de l'entitat, per la seva sensibilització i conscienciació amb el compliment normatiu, en aquest cas en matèria de protecció de dades personals i la protecció dels drets i les llibertats dels interessats.
- Evitar o reduir sancions administratives (multes GDPR) i penals (delictes contra la intimitat personal i familiar, delictes de revelació de secrets).
- Reducció de costos de gestió per una utilització ineficient dels recursos i actius de la informació (prevenció i respostes davant de ciberatacs, conservació i emmagatzematge d'informació legalment i empresarialment innecessària, etc.).
LES 4 FASES DEL SISTEMA DE COMPLIMENT
FASE 1: PLANIFICACIÓ
Per dur a terme la implantació hem de conèixer l'estructura interna de l'organització, determinar-ne la situació actual en l'àmbit que ens ocupa i definir objectius a través de:
- Entrevistes amb els responsables de totes les unitats gestores o departaments de l'organització relacionades amb el tractament de dades personals, per conèixer l'operativa de l'organització, i així determinar quines activitats de tractament duen a terme, el tipus de dades personals que inclouen i com en fan ús.
FASE 2: IMPLANTACIÓ
Com a resultat de les entrevistes es procedirà a la fase dimplantació per tal dacreditar una actitud conscient, diligent i proactiva enfront dels tractaments de dades personals que es duen a terme a través de:
- Registre dactivitats de tractament (RAT).
- Normes internes (polítiques, protocols...).
- Circulars amb la informació sobre el tractament i textos legals.
- Contractes de confidencialitat (personal i encarregats del tractament).
- Metodologia de gestió de riscs.
- Formació i sensibilització als intervinents en el tractament.
- Inventaris dactius, programari, maquinari, suports, mobiliari.
- Registres, drets, bretxes, entrada i sortida de suports.
- Designacions i responsabilitats, DPO, responsable de privadesa, comitè de privadesa, …
FASE 3: REVISIÓ
Després de la implantació es procedirà, periòdicament, al control de si l'entitat compleix amb allò establert al RGPD en els tractaments de dades personals que realitza, a través d'auditories internes o externes per a:
- Verificar que les obligacions legals, tècniques i organitzatives implementades per l'organització es duen a terme.
- Identificar quines, en base a la revisió realitzada, es recomana procedir a actuar per resoldre les possibles incidències detectades sobre la base de les evidències generades.
FASE 4: ACTUACIÓ
Totes les no conformitats derivades de les auditories realitzades s'han de corregir a través de:
- Pla d'Accions Correctives (PAC), que serà l'evidència que s'han corregit (tractat i resolt) totes les no-conformitats.
I fruit de les revisions de la gestió de riscos o EIPD que hagin tingut lloc en aquests processos, com a conseqüència dels canvis que s'hagin produït en els tractaments i que, per tant, hagi implicat una variació en els riscos:
- Cal adoptar les mesures de seguretat proposades.