La piedra angular del RGPD es el principio de responsabilidad proactiva. Las organizaciones han tenido que adecuarse a la norma mediante la formalización de un Modelo de Gobierno de la Privacidad que actúe como soporte a los procedimientos de actuación que serán aplicados. Por tanto, son las propias organizaciones las que deben adoptar las medidas que consideren efectivas para garantizar la privacidad de los datos y, en consecuencia, la protección de los derechos y libertades de las personas físicas.

Así se ha expresado Pablo González Melgar, experto en esta materia en el Tercer Encuentro de Consejeros al que, convocados por el Instituto de Auditores Internos (IAI), han acudido cerca de 100 consejeros de compañías españolas de todos los sectores económicos para analizar, entre otras cosas, los retos del Reglamento General de Protección de Datos, de implantación obligatoria a partir del próximo 25 de mayo para todas las organizaciones establecidas o con relaciones comerciales con la Unión Europea.

El Reglamento General de Protección de Datos no delimita ni impone las medidas de seguridad que garantizan la privacidad. Esto puede ser una ventaja, al dar libertad a la empresa para que obre y adapte las medidas al contexto de la misma, o un inconveniente, al poder verse perdida o no implantar el reglamento de forma correcta. Las exigencias de cumplimiento, y las penalizaciones en caso contrario pueden tener consecuencias económicas (hasta 20 millones de euros o el 4% de la facturación anual), legales y reputacionales muy importantes.

Los consejos de administración han de supervisar que el cumplimiento del RGPD tiene un enfoque de privacidad basado en riesgos y que proporciona una seguridad razonable de que se han destinado los recursos necesarios para proteger los derechos y libertades de las personas físicas. El IAI ha presentado el documento "Supervisión del Reglamento General de Protección de Datos, 7 preguntas que un Consejero debe plantearse", que aborda las cuestiones clave para garantizar la conformidad con el nuevo Reglamento.

La primera es que no es solo una cuestión de ciberseguridad, sino que se ocupa de igual forma de los procesos de recogida, almacenamiento, uso y divulgación de estos datos por parte de las organizaciones, garantizando, con ello, los derechos y libertades de las personas físicas. Esta norma es más estricta con respecto al consentimiento, siendo necesario que sea “expreso” en los procesos de recogida de datos.

La segunda hace referencia a que la formalización de un Modelo de Gobierno de la Privacidad es un factor crítico de éxito. La definición de este modelo presentará el detalle de las funciones y obligaciones de las distintas partes interesadas para garantizar el cumplimiento de los principios, derechos y obligaciones recogidos en la norma.

La tercera habla de las organizaciones cuya actividad principal sea la monitorización de datos y el procesamiento de grandes volúmenes de datos sensibles, que se verán obligadas a la designación formal de un Delegado de Protección de Datos (DPO).

La cuarta recuerda que uno de los principios fundamentales recogidos en el Reglamento se centra en las Evaluaciones de Impacto de Privacidad. Esta evaluación debe ser realizada tanto para los procesos existentes como para las nuevas iniciativas de tratamiento de datos siempre que pudiera derivarse un alto riesgo para los derechos y libertades de las personas físicas.

La quinta hace alusión a que la regulación prevé un papel prioritario al proceso de implantación de medidas técnicas que eviten cualquier escenario de fuga de datos (fundamentalmente, el cifrado de los datos), y obliga a las compañías –responsables del tratamiento– a notificar al Órgano de Control español cualquier incidente de seguridad (data breach) que se presente en materia de protección de datos en un periodo máximo de 72 horas.

La sexta pregunta subraya que, en última instancia, son los empleados los que llevan a cabo el tratamiento de los datos de carácter personal en el desempeño de sus actividades cotidianas. En este sentido, todo Modelo de Gobierno de la Privacidad debe quedar sustentado por la correcta planificación de un programa de concienciación de los empleados, a través del cual, se puedan presentar los escenarios de riesgos.

Por último, la séptima pregunta que deben hacerse es si se ha definido formalmente un modelo de relación entre el DPO y el área de Auditoría interna, ya que con las funciones de aseguramiento definidas, mejorará la eficiencia y efectividad del Modelo de Gobierno de la Privacidad, y será posible compartir las sinergias entre los procesos de monitorización (DPO) y Auditoría Interna.

Fuente: https://diarioresponsable.com