Compliance i protecció de dades: integració i governança
Gestionar adequadament la protecció de les dades personals dins d’una organització és avui dia una qüestió de vital importància. Constantment som testimonis de sancions administratives i judicis reputacionals a les quals es veuen exposades aquelles organitzacions que no compleixen amb la regulació en aquesta matèria i/o no han adequat les seves activitats als estàndards mínims que preveu la normativa.
Per això, incardinar dins del nostre Sistema de Compliance el que es preveu en el Reglament (UE) 2016/679 de 27 d’abril de 2016, la Llei orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals, així com les guies elaborades per l’Agència Espanyola de Protecció de dades i les directrius emeses pel Comitè Europeu de Protecció de Dades, és assumir una postura proactiva en l’adopció del que tal normativa preveu i denomina com a privacitat des del disseny (“Privacy by design”) i privacitat per defecte (“Privacy by default”).
Partint del que coneixem com a Sistema de Compliance, tenir present des del disseny del mateix o incorporar en el nostre sistema ja desenvolupat la regulació sobre protecció de dades, ens permetrà integrar les obligacions, requisits i recomanacions que la regulació, guies i directrius en aquesta matèria ens afectin, amb la finalitat última d’enfortir la nostra cultura ètica i de compliment, ampliant-la a aquells àmbits en els quals també ens puguem veure afectats per riscos de compliance no previstos.
Reprenent els conceptes assenyalats de privacitat des del disseny i privacitat per defecte, d’una banda, sempre que tinguem previst realitzar una nova activitat en la nostra organització, una de les primeres qüestions que hauríem de plantejar-nos és si en tal activitat tractarem dades personals, amb la finalitat de tenir en compte els requisits i recomanacions mínims i adequar i implementar les mesures tècniques i organitzatives necessàries, i així evitar riscos de compliance i reputacionals des d’un principi, des del disseny de l’activitat.
D’altra banda, si tenim en compte en el desenvolupament de la nostra activitat, en la qual tinguem previst tractar dades personals, la privacitat per defecte, això ens portarà a aplicar des d’un inici els principis de minimització de dades i limitació de la finalitat, assegurant-nos així que podem garantir el compliment en aquesta matèria.
En tal sentit, no sols ens és prou amb disposar d’una Política de privacitat, una Política de cookies, un registre d’activitats i diverses polítiques que moltes vegades desconeixem que tenim o com ens poden ajudar a gestionar la nostra activitat, sinó que és necessari realitzar una revisió interna de les activitats que realitzem per a conèixer en quines d’elles tractem efectivament dades personals i sota quines premisses i amb quines mesures de seguretat ho estem fent. Sobre la base de tal avaluació, podrem determinar aquells aspectes que hem d’adaptar, adequar i/o actualitzar per a assegurar un efectiu compliment que ens garanteixi que estem aplicant les mesures tècniques i organitzatives que ens exigeix la regulació.
En incloure dins del nostre Sistema de Compliance la regulació en matèria de protecció de dades, podrem realitzar una valoració dels riscos als quals es pot veure exposada la nostra organització seguint el model de governança emprat per a la incorporació de les altres regulacions normatives que ens afecten, i elaborar les respostes proactives, preventives i reactives mitjançant polítiques, protocols i procediments que serveixin de guia i referència en la manera de desenvolupar la cultura ètica i de compliment que els membres de l’organització han d’observar respecte també de la privacitat i la protecció de dades personals.
El desenvolupament constant de les activitats que pot realitzar una organització, així com l’ús de les dades personals i les activitats de tractament que es realitzen sobre aquests, han fet que la regulació sobre la protecció de les dades personals resulti d’aplicació transversal a l’organització i per tant, això està lligat amb la funció de compliance, sent per tant una normativa més com s’ha indicat abans – tan rellevant com les altres- a tenir en compte dins del nostre Sistema de Compliance.
Tal és així que, l’evolució normativa en matèria de protecció de dades personals de la qual hem estat testimonis aquests últims anys, sorgeix de la necessitat de comptar amb una regulació tecnològicament resistent que ens permeti salvaguardar els drets i llibertats de les persones dels tractaments de dades personals que es realitzen en la nova societat digital, a conseqüència del desenvolupament i evolució de la tecnologia.
Per això, resulta necessari conèixer com estem gestionant les nostres activitats de tractament sobre les dades personals, en funció de les mesures tècniques i organitzatives que hem aplicat, així com verificar l’ocupació que realitzem de la tecnologia de conformitat amb el que la regulació preveu i en particular, poder demostrar que les mesures que hem adoptat en determinat moment, continuen sent prou robustes per a garantir com a mínim la confidencialitat, integritat i disponibilitat de les dades personals que tractem.
No podem perdre de vista que, per a la gran majoria d’organitzacions, el tractament de dades personals constitueix un actiu essencial, i el fet de poder garantir que realitzen una ocupació segura i correcta dels mateixos reforça la seva reputació i confiança per part de la ciutadania i dels seus socis de negoci.
En definitiva, com a tasques a realitzar per a assegurar el compliment en matèria de protecció de dades i la implicació de tota l’organització amb la finalitat d’interioritzar aquesta cultura ètica i de compliment, podem llistar les següents, sense ànim d’exhaustivitat:
- Determinar la governança i el nomenament del Delegat de Protecció de Dades (en els supòsits previstos per la regulació, i/o de manera voluntària).
- Avaluació de riscos de les activitats de tractament de dades personals.
- Inventari de tractaments i anàlisis de bases de licitud.
- Anàlisi de riscos i avaluacions d’impacte.
- Registre d’activitats de tractament.
- Política de privacitat i Política corporativa de privacitat.
- Revisió de clàusules informatives i de Contractes d’encarregats de tractament.
- Procediments per a l’exercici de drets, bretxes de seguretat, conservació de dades, etc.
- Gestionar les mesures de seguretat pertinents, involucrant a tots els membres de l’organització.
- Formació i conscienciació dels membres de l’organització.
- Seguiment i monitoratge continu.
Departament de Compliance de Molins Defensa Penal.