Con la entrada en vigor del Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (y por el que se deroga la Directiva 95/46/CE) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales la Protección de Datos de carácter personal entró en una nueva era en nuestro país.

La obligación de establecer un Registro de actividades del tratamiento, sustituyendo el anterior modelo de inscripción de ficheros, hace que las empresas tengan que tener en todo momento controlado el movimiento de información.

Aquí entra en juego la capacidad de los programas implementados en las empresas de adaptarse a los cambios que se vayan produciendo en la gestión de los datos. Y para que exista una adaptación eficiente y completa estos programas deben estar lo más estructurados posibles, dejando siempre espacio para la improvisación de determinados protocolos o actuaciones por circunstancias extraordinarias, como hemos podido ver en estos tiempos de la Crisis del Covid19.

Para que exista esta estructuración nosotros optamos por el modelo del Check List, que nos ayuda a articular su implantación y facilita que al cliente no le cueste ningún esfuerzo seguir los hitos de la implementación y seguimiento del Programa.

Este Check List nos ayuda a guiarnos en la generación de la documentación escrita para el cliente basándonos siempre en el Registro de Actividades.

Con esta fórmula, y tomando como inicio el Registro de Actividades, podemos trazar 3 tipos de documentos:

  1. Documentos de trabajo y desarrollo.
    En los documentos de trabajo y desarrollo englobamos todos aquellos textos requeridos por la normativa vigente, como el Análisis de riesgo de los datos o la Evaluación de encargados del tratamiento.
  2. Documentos para el día a día de las empresas.
    Aquí generaríamos todas las cláusulas, escritos y circulares de información necesarias para actualizar e informar a todos los interesados de la protección de sus datos de carácter personal.
  3. Protocolos.
    Incluimos las medidas de seguridad o la notificación de quiebras de seguridad.

Especial atención merece la formación del personal en la Protección de Datos. Al final, cuando implementas un Programa en una empresa, y aunque estés siempre disponible para la resolución de dudas o problemas que puedan surgir, la empresa tiene que interiorizar la cultura del cumplimiento, en este caso del cumplimiento en la normativa de la Protección de Datos. Sobre todo en aquellas empresas que basan sus actuaciones en interacciones como clientes, el personal tiene que estar plenamente integrado en el Programa.

Esta estructura que nos proporciona el Check List es perfecta para nuestro modelo de implementación de Programas Llave en Mano.

Además de la estructura, es de vital importancia la actualización de los Programas. No vale con generar la documentación mínima para que esté guardada en un armario o una carpeta del escritorio.

Aquí entra de nuevo la exigencia de la normativa, que en el caso concreto de la Protección de Datos exige una continua revisión del Registro de Actividades, cada vez que se produzca un cambio en el tratamiento de los datos.

La presencia del Delegado de Protección de Datos (DPD), obligatorio en los casos que establecen el RGPD que van desde operadores de juego online a notarías, se complementa con la asistencia de empresas especializadas que sirven de soporte al DPD.

El calendario de renovación de documentos, con actas de cada reunión, es recomendable establecerlo de manera ordinaria cada, como mínimo, semestre. En estas reuniones se pueden analizar los cambios en el tratamiento de la información, el funcionamiento de los protocolos o la extensión de la formación de los empleados.

La celebración de reuniones extraordinarias tiene que estar contemplada para aquellos supuesto donde se produzcan hechos que precisen medidas inmediatas.

La planificación minuciosa tanto de la implementación del Programa como de su actualización, tiene que integrarse lo máximo posible en el funcionamiento habitual de la empresa, siendo recomendable su integración en los Órganos de Cumplimiento de la empresa o Compliance Officer.

Miguel Ángel Blanes Ortuño
Responsable Área Protección de Datos
Sénex Consejos de Buen Gobierno

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *