Compliance y protección de datos: integración y gobernanza
Gestionar adecuadamente la protección de datos personales dentro de una organización es hoy en día una cuestión de vital importancia. Constantemente somos testigos de sanciones administrativas y juicios reputacionales a las que se ven expuestas aquellas organizaciones que no cumplen con la regulación en esta materia y/o no han adecuado sus actividades a los estándares mínimos que prevé la normativa.
Por ello, incardinar dentro de nuestro Sistema de Compliance lo previsto en el Reglamento (UE) 2016/679 de 27 de abril de 2016, la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, así como las guías elaboradas por la Agencia Española de Protección de datos y las directrices emitidas por el Comité Europeo de Protección de Datos, es asumir una postura proactiva en la adopción de lo que tal normativa prevé y denomina como privacidad desde el diseño (“Privacy by design”) y privacidad por defecto (“Privacy by default”).
Partiendo de lo que conocemos como Sistema de Compliance, tener presente desde el diseño del mismo o incorporar en nuestro sistema ya desarrollado la regulación sobre protección de datos, nos permitirá integrar las obligaciones, requisitos y recomendaciones que la regulación, guías y directrices en esta materia nos afecten, con la finalidad última de fortalecer nuestra cultura ética y de cumplimiento, ampliándola a aquellos ámbitos en los que también nos podamos ver afectados por riesgos de compliance no previstos.
Retomando los conceptos señalados de privacidad desde el diseño y privacidad por defecto, por un lado, siempre que tengamos previsto realizar una nueva actividad en nuestra organización, una de las primeras cuestiones que deberíamos plantearnos es si en tal actividad vamos a tratar datos personales, con la finalidad de tener en cuenta los requisitos y recomendaciones mínimos y adecuar e implementar las medidas técnicas y organizativas necesarias, y así evitar riesgos de compliance y reputacionales desde un principio, desde el diseño de la actividad.
Por otro lado, si tenemos en cuenta en el desarrollo de nuestra actividad, en la que tengamos previsto tratar datos personales, la privacidad por defecto, ello nos llevará a aplicar desde un inicio los principios de minimización de datos y limitación de la finalidad, asegurándonos así que podemos garantizar el cumplimiento en esta materia.
En tal sentido, no sólo nos basta con disponer de una Política de privacidad, una Política de cookies, un registro de actividades y diversas políticas que muchas veces desconocemos que tenemos o cómo nos pueden ayudar a gestionar nuestra actividad, sino que es necesario realizar una revisión interna de las actividades que realizamos para conocer en cuales de ellas tratamos efectivamente datos personales y bajo qué premisas y con qué medidas de seguridad lo estamos haciendo. En base a tal evaluación, podremos determinar aquellos aspectos que tenemos que adaptar, adecuar y/o actualizar para asegurar un efectivo cumplimiento que nos garantice que estamos aplicando las medidas técnicas y organizativas que nos exige la regulación.
Al incluir dentro de nuestro Sistema de Compliance la regulación en materia de protección de datos, podremos realizar una valoración de los riesgos a los que se puede ver expuesta nuestra organización siguiendo el modelo de gobernanza empleado para la incorporación de las demás regulaciones normativas que nos afectan, y elaborar las respuestas proactivas, preventivas y reactivas mediante políticas, protocolos y procedimientos que sirvan de guía y referencia en el modo de desarrollar la cultura ética y de cumplimiento que los miembros de la organización han de observar respecto también de la privacidad y la protección de los datos personales.
El desarrollo constante de las actividades que puede realizar una organización, así como el empleo de los datos personales y las actividades de tratamiento que se realizan sobre los mismos, han hecho que la regulación sobre la protección de los datos personales resulte de aplicación transversal a la organización y por ende, ello está ligado con la función de compliance, siendo por tanto una normativa más como se ha indicado antes – tan relevante como las otras- a tener en cuenta dentro de nuestro Sistema de Compliance.
Tal es así que, la evolución normativa en materia de protección de datos personales de la que hemos sido testigos estos últimos años, surge de la necesidad de contar con una regulación tecnológicamente resistente que nos permita salvaguardar los derechos y libertades de las personas de los tratamientos de datos personales que se realizan en la nueva sociedad digital, como consecuencia del desarrollo y evolución de la tecnología.
Por ello, resulta necesario conocer cómo estamos gestionando nuestras actividades de tratamiento sobre los datos personales, en función de las medidas técnicas y organizativas que hemos aplicado, así como verificar el empleo que realizamos de la tecnología de conformidad con lo que la regulación prevé y en particular, poder demostrar que las medidas que hemos adoptado en determinado momento, continúan siendo lo suficientemente robustas para garantizar como mínimo la confidencialidad, integridad y disponibilidad de los datos personales que tratamos.
No podemos perder de vista que, para la gran mayoría de organizaciones, el tratamiento de datos personales constituye un activo esencial, y el hecho de poder garantizar que realizan un empleo seguro y correcto de los mismos refuerza su reputación y confianza por parte de la ciudadanía y de sus socios de negocio.
En definitiva, como tareas a realizar para asegurar el cumplimiento en materia de protección de datos y la implicación de toda la organización con la finalidad de interiorizar esta cultura ética y de cumplimiento, podemos listar las siguientes, sin ánimo de exhaustividad:
- Determinar la gobernanza y el nombramiento del Delegado de Protección de Datos (en los supuestos previstos por la regulación, y/o de forma voluntaria).
- Evaluación de riesgos de las actividades de tratamiento de datos personales.
- Inventario de tratamientos y análisis de bases de licitud.
- Análisis de riesgos y evaluaciones de impacto.
- Registro de actividades de tratamiento.
- Política de privacidad y Política corporativa de privacidad.
- Revisión de cláusulas informativas y de Contratos de encargados de tratamiento.
- Procedimientos para el ejercicio de derechos, brechas de seguridad, conservación de datos, etc.
- Gestionar las medidas de seguridad pertinentes, involucrando a todos los miembros de la organización.
- Formación y concienciación de los miembros de la organización.
- Seguimiento y monitorización continua.
Departamento de Compliance de Molins Defensa Penal.