Nuevos objetivos RGPD: Auditorías

Año Nuevo y vuelta a las tareas en materia de gestión de protección de datos de carácter personal por los “Responsables”. Ha terminado un año en el que ya se puede, tras la entrada en vigor del RGPD y la LOPDGDD, sacar conclusiones respecto de las dificultades que entraña estar al día en esta materia.

El cambio de normativa nos anunciaba una nueva forma de organizar y tratar la protección de datos. Aparece el mundo análisis de riesgos y un enfoque mirando al concepto Compliance. Esto ha supuesto una revolución en el ámbito empresarial español en general, salvo excepciones como las grandes compañías, el cual no está acostumbrado a estos criterios.

Las pequeñas empresas no están preparadas para entender esta nueva forma de organizarse y poder así cumplir con la protección de datos de carácter personal.

Las grandes empresas que teniendo estructuras más complejas y con un mayor conocimiento del mundo análisis de riesgos, sin embargo, les está costando asumir la implantación de sistemas de gestión de protección de datos que llegue a todos sus tratamientos y un sistema organizativo de controles que permita vigilar el cumplimiento.

A esto se le añaden nuevos ingredientes inquietantes para todos, pequeños y grandes, de los que hago una reseña:

  • Las brechas de seguridad, lo que parecía un mundo de ciencia ficción que solo les ocurría a unos pocos, arroja un resultado que demuestra que las brechas ocurren con mucha más frecuencia de lo que parecía y en cualquier tipo de empresas. Se detectan problemas a la hora de delimitar lo que es una brecha o no, lo que es o no notificable a la Agencia Española de Protección de Datos.
  • La regulación en las páginas web de las cookies que están danto tantos problemas interpretativos. Cookies con funcionalidades que a veces se escapan del conocimiento de los responsables de las webs que las utilizan y que hacen difícil su gestión.
  • Nuevas tecnologías surgidas por necesidades de adaptación a otras normativas como el registro de jornada laboral, utilizando medios como huellas digitales y otros datos biométricos.
  • Riesgos asociados a la interacción con los usuarios de las redes sociales.
  • Una de las dificultades importantes es detectar los cambios dentro de una empresa con una conciencia de que dichos cambios requieren ser puestos en conocimiento de los responsables de la gestión de datos, por ejemplo, la adquisición de nuevos sistemas de tratamiento, los cuales pueden llevar asociado una evaluación de impacto previa, modificaciones en los tratamientos de datos ya evaluados que suponen adaptación del clausulado, actualización del registro de actividades, etc.

Este breve resumen pone de manifiesto que la implantación de un sistema de gestión de protección de datos es una ardua tarea con un nivel de exigencia y esfuerzo en toda la organización. Que las empresas deben modificar mentalidades asociadas a cambios incluso estructurales, dándole bienvenida a nuevos responsables como los Delegados de Protección de Datos y los coordinadores responsables de la implantación del sistema de gestión.

Una herramienta de mucha ayuda para saber en qué situación estamos dentro del caos es realizar auditorías que nos permitan hacer una fotografía, que refleje los logros obtenidos y determinar donde está funcionando el sistema y donde no para corregir rumbo.

Las auditorías como un elemento que nos sirva internamente para tomar el pulso del grado de implantación en cada área funcional donde haya tratamiento de datos de carácter personal, utilizada como un elemento preventivo de posibles sanciones.

#AEPD #dataprotection #GDPR #LOPGDD  #sistemadegestion #riesgo #brecha #cookies #web #auditoria #helas #Información #Guíasobrecookies

María Victoria López Carnevali 

Consultor de Helas Consultores