Con el nuevo RGPD que entró en vigor el 25 de Mayo y la recién aprobada LOPD y GDD, es importante que toda empresa tenga la capacidad de demostrar que cumple con ambas normativas.
Vamos a explicar cómo garantizar que cumples con el RGPD, qué documentos debes entregar y a quién.
¿A quién debo demostrar el cumplimiento del RGPD?
Se debe demostrar ante la Agencia Española de Protección de Datos. Además, si tenemos encargados de tratamiento debemos exigirles ciertas garantías de cumplimiento.
¿Cómo acredito que cumplo con los requisitos?
El propio Reglamento determina que podrán utilizarse como elemento de demostración del cumplimiento la adhesión a Códigos de Conducta, siempre que se hayan aprobado conforme a los criterios del art. 40 del RGPD o mediante los mecanismos de certificación aprobados con arreglo al artículo 42.
Quieres hacer que la protección de datos se cumpla sin esfuerzo? Descargar Gratis: Paquete basico RGPD
Dado que estos medios no son obligatorios, la acreditación también se puede hacer mediante la documentación que se haya generado para determinar las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas.
¿Debo entregar TODA la documentación interna sobre el cumplimiento?
Ante una auditoría, no se debe entregar determinada documentación podría ser muy perjudicial.
Sin embargo, si pretendemos acreditar ante un tercero que en nuestra organización el tratamiento de datos se realiza conforme al Reglamento para que contrate nuestros servicios, hay que tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización:
- Sistemas Informáticos que utilizamos lo que podría comprometer la seguridad de los mismos.
- Contactos de nuestros proveedores, podrá conocer todas las condiciones económicas que pueden ser confidenciales.
Con esto queremos decir que muchos documentos que demuestran el cumplimiento, también contienen información que no debemos compartir porque pueden ser datos de carácter personal, puede ser información confidencial o contenga información comercial que no queramos que pueda ser utilizada por los competidores.
¿Qué documentación se tiene que entregar para acreditar el cumplimiento?
Dentro del Reglamento encontramos cierta documentación que debe estar a disposición de la AEPD:
- Registro de Actividades del Tratamiento.
- Evaluaciones de Impacto sobre la Protección de Datos.
- Contratos, medidas, controles, etc, se podrían utilizar, aunque restringiendo cierta información.
¿Y si un externo me audita o certifica?
Todas las auditorías y las certificaciones, siempre que se trate de una certificación NO oficial no valdrá como una presunción de cumplimiento. Aunque SI nos servirá para demostrar nuestra diligencia en el cumplimiento.
¿Valdría con una declaración responsable?
La declaración responsable es un documento, regulado en la Ley 39/2015, en el que el interesado manifiesta que cumple con unos requisitos normativos y que dispone de la documentación que acredita ese cumplimiento.
En el sector público la demostración del cumplimiento del RGPD se podrá realizar primero mediante una declaración responsable, aunque posteriormente se tendrá que acreditar que efectivamente se cumplen con los requisitos.
En el ámbito privado el documento tendrá el mismo valor que los certificados privados.
¿Y ante la Agencia Española de Protección de Datos?
Si la AEPD nos requiere documentación, se deberá entregar toda la documentación que nos soliciten y aquella que consideremos oportuna para demostrar que el tratamiento de datos se realiza conforme a las estipulaciones del Reglamento y de las normas que resulten de aplicación, como podría ser la LOPD, su Reglamento de Desarrollo, la nueva LOPD cuando se apruebe, la LSSI, etc.
Si necesitas ayuda para adaptarte al RGPD, pídenos información.
