Listado de cumplimiento normativo para facilitar la adaptación al RGPD
Medidas para verificar el cumplimiento normativo
4.2 (84%) 5 votes

Queda escasamente un mes para la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y, a estas alturas, no todas las Administraciones Públicas y empresas han adaptado sus procesos a las nuevas obligaciones dimanantes de dicho Reglamento.

Listado cumplimiento normativo

Anticipándose a las nuevas exigencias, la Agencia Española de Protección de Datos (AEPD) publicó el pasado 13 de abril de 2018 el Listado de cumplimiento normativo.

Se trata de un documento que aporta un método básico con el que las organizaciones pueden identificar y verificar que están teniendo en cuenta los requerimientos establecidos por el nuevo Reglamento General de Protección de Datos, que se aplicará el 25 de mayo, fecha a partir de la cual las entidades que tratan datos deben estar en disposición demostrar que cumplen con la normativa.

Tal y como se indica en la parte expositiva de dicho Listado:

En las Guías de Análisis de Riesgos y Evaluaciones de Impacto publicadas por la Agencia Española de Protección de Datos (AEPD) se cita textualmente el Considerando 74, que establece que “....el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el Reglamento General de Protección de Datos, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas

Con base en lo anterior, se deduce la importancia de identificar las amenazas y riesgos a los que está expuesta una actividad de tratamiento de datos personales, por lo que se considera fundamental disponer de una descripción detalla del mismo, su contexto y los elementos más relevantes que intervienen para poder gestionar los riesgos con el fin de minimizarlos al máximo.

RGPD

Reglamento General de Protección de Datos

El proceso de gestión de riesgos implica realizar inicialmente dos tareas: identificarlos y evaluarlos. En consecuencia, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento teniendo en cuenta que entre los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas se pueden diferenciar dos dimensiones: riesgos asociados a la protección de la información con el foco central en la integridad, disponibilidad y confidencialidad de los datos y riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados”.

A tal efecto, dicho Listado:

1 Recoge aspectos de utilidad para verificar el nivel de cumplimiento, de forma que se puedan implantar las medidas necesarias.

2 Complementa las guías de Análisis de riesgos y Evaluaciones de impacto lanzadas por la AEPD.

El Listado, que devendrá especialmente útil tanto para los procesos de análisis de riesgo como en las evaluaciones de impacto, está dividido en 29 bloques entre los que se encuentran los relacionados con la transparencia en la información que debe facilitarse a los ciudadanos, el ejercicio de derechos por parte de estos, el registro de actividades, las medidas de seguridad o las transferencias internacionales.

Sobre el contenido del mismo se indica que:

Es importante destacar que este listado recoge aspectos que deben ser tenidos en cuenta desde el diseño de un tratamiento de datos, además de ser de utilidad para verificar el nivel de cumplimiento del RGPD de cualquier organización, de forma que se puedan implantar los controles necesarios a fin de garantizar la proactividad que el Reglamento exige a responsables y encargados de tratamientos. El uso de este documento muestra una visión general de los aspectos en los que es necesario incidir con el fin de garantizar la licitud del tratamiento o mejorar aspectos relacionados, por ejemplo, con la transparencia y la información que se facilita a los interesados.


Es preciso señalar la necesidad de mantener documentados todos los procesos, en especial en lo que se refiere a la identificación del riesgo relacionado con el tratamiento y la evolución del mismo, con el objetivo de acreditar la diligencia en el cumplimiento del RGPD. En este sentido, además de otros documentos que fueran necesarios, el análisis que pudiera llevarse a cabo mediante este documento debería formar parte de dicha base documental de manera que permita a responsables y encargados demostrar en cualquier momento su diligencia y proactividad con relación con el cumplimiento normativo de los tratamientos que llevan a cabo

El mismo constituye, pues, una herramienta de ayuda al cumplimiento, como complemento de las guías de Análisis de Riesgos y Evaluación de Impacto y la hoja de ruta realizada por la AEPD para empresas y organizaciones privadas, debiéndose de tener en cuenta que, para entidades que tratan datos de escaso riesgo, la AEPD ya ofrecía Facilita_RGPD, un cuestionario online gratuito con el que empresas y profesionales pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento General de Protección de Datos.

Para los que todavía no hayáis actualizado vuestros procesos al nuevo Reglamento General de Protección de Datos, sin duda alguna, ¡el Listado publicado por la AEPD debe ser una referencia a tener muy en cuenta!

¿Necesitas asesoramiento sobre planificación estratégica en el sector público?


Otros links de interés:

Agencia Española de Protección de Datos

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL – Art 83. GDPR