Privacidad y Seguridad

Instituto Internacional de Privacidad y Seguridad de la Información

Noticias 

El cumplimiento del GDPR usando herramientas

Aranzazu Pecharroman

El año 2018, mantiene aún su huella jurídica, por que sin duda la revolución que ha supuesto el conocido como RGPD/GDPR, va a tener un eco que se extenderá durante unos cuantos años. Y es que la Unión Europea, ha tenido a bien imponer un sistema único para que todos los datos de cualquier persona física que se encuentre en la Unión Europea. Pero este sistema único conlleva una serie de obligaciones para las cuales podemos pensar en diferentes herramientas, que pueden ayudarnos a gestionarlas.

Agrupando estas obligaciones, tenemos que hablar de un sistema de gestión, con sus procedimientos y procesos, que junto con sus registros nos ayudaran a dar buena cuenta de nuestra diligencia como responsables y cumplidores. Dispondremos de un sistema prevencionista y en su caso, reaccionista ante los riesgos que se presenten frente a nuestras operaciones de tratamiento y los datos personales que además tendremos correctamente inventariados, que será revisado periódicamente y sometido a procesos de auditoria que nos ayudaran a evidenciar nuestra responsabilidad activa. Y como no, procederemos a gestionar debidamente nuestras incidencias, que comunicaremos y notificaremos formalmente en tiempo y forma. Y todo ello, contando con un Delegado de Protección de Datos, que informará y asesorara, supervisará adecuadamente, generara el Feedback necesario en las evaluaciones de impacto, y cooperara y será el punto de contacto con la(s) Autoridad(es) de Control.

Si reducir al mínimo las obligaciones que nos impone la nueva normativa es complicado, gestionarlas adecuadamente, es aún más difícil Por eso, tenemos que ser conscientes de la posibilidad de emplear herramientas que nos ayuden a gestionar estas obligaciones.

Podemos contar con herramientas que nos ayuden a gestionar estas obligaciones si somos conciencias de que no todas, son útiles o pueden servir para nuestra entidad. Podemos gestionar los registros de actividades, podemos disponer de una herramienta para gestionar los riesgos, para realizar la evaluación de impacto, … Por ejemplo, disponemos de herramientas como Facilit@ -de la propia Autoridad de Control-, o herramientas como Pilar –CCN-. Estas se presentan como herramientas ágiles dentro de sus funciones principales, pero no siempre será posible que las usemos.

Existen otras herramientas en el mercado que pueden resultar muy útiles. Por ejemplo, Smart GDPR es una de ellas. Esta herramienta puede ayudar a gestionar las obligaciones pero además puede generar evidencias documentales para poder acreditar el cumplimiento y adecuación de nuestro sistemas a las prerrogativas legales.  Un punto a favor de la herramienta, es la generación de puntos de contacto con diferentes interlocutores, tanto internos como externos. Así podremos implicar a diferentes áreas o personas de nuestra organización en las responsabilidades sobre los registros de operaciones de tratamiento de las que son los propietarios.  Aun disponiendo de un Delegado, este podrá canalizar las tareas, revisar el nivel de cumplimiento, comprobar desviaciones..

Un punto muy positivo de la herramienta es el inventario de registros, que sin duda es su mayor fortaleza. Ligados a los mismos se generan la gestión de riesgos y las evidencias documentales que necesitamos, pero, quizás sea mejorable este punto. No olvidemos que la actualización de los registros es un imperativo y vamos a necesitar a los verdaderos operadores de datos, para mantenerlos adecuados. Sin ellos, de poco nos sirve que nuestro Delegado mantenga una gestión de riesgos o un control de proveedores si, desconoce la verdadera extensión de las operaciones.

Los propios tratamientos pueden separarse entre los propios como Responsable o como Encargado. Para cada registro podemos usar diferentes cuestionarios, entre los que podemos encontrar específicos para realizar una evaluación de impacto. En general la herramienta parece disponer unos 1500 puntos de control, que nos ayudarían a adecuar nuestros procesos de tratamiento y se irán orientando en base a las respuestas que vamos generando. De nuestro propio proceso de generación de registro, nacerá un plan de acción.

Otro elemento a destacar de la herramienta es la posibilidad de canalizar pequeñas auditorias y controles de proveedores.

Esta plataforma puede adaptarse a grupos empresariales intercomunitarios adecuándose a diferentes idiomas y gestionando diferentes perfiles con roles diferenciados con diferentes niveles de acceso.

Quizás uno de los elementos más llamativos de la herramienta es la capacidad de gestionar la implementación de las obligaciones legales mediante un plan de acción, tal y como veníamos haciendo con estándares y proyectos integrales en las entidades. Así podemos programar acciones o tareas y administrar los terceros (clientes, corresponsables o proveedores).  La propia herramienta dispone de dos elementos que complementan muy bien este punto, una biblioteca con modelos documentales y jurisprudencia actual, y un market donde podremos encontrar consultores y otros profesionales que nos ayudaran en nuestro proceso.

La herramienta contiene un módulo muy interesante para poder realizar la gestión de las incidencias, y los ejercicios de derechos. Así podemos mantener el cumplimiento de los plazos y que nuestro Delegado pueda generar un seguimiento adecuado.

Un elemento que incluye desde Smart GDPR es la calificación a los diferentes responsables, mediante una certificación propia. Si bien no le vemos un gran uso a este “private certificate” puede ser muy motivador en grupos empresariales o entidades de un sector determinado, para fomentar la adecuación y mejora de los procesos de cumplimiento. Por qué no olvidemos que, si bien legalmente este certificado carece de valor, el ver al “vecino” mejor, muchas veces hace que nos replanteemos como estamos haciendo el camino.

Si por el contrario somos un Delegado de Protección de Datos y estamos buscando una herramienta que nos permita gestionar, bien entidades clientes o bien, filiales de un mismo grupo en el desarrollamos las funciones, esta herramienta puede resultarnos útil. Se puede gestionar el nivel de cumplimiento de diferentes entidades simultáneamente de manera que facilita y unifica el grado de cumplimiento, presentándose los puntos de incumplimiento, prioridades de acción y planes de acciones detallados (aunque podremos crear o modificar las propuestas).

Como casi todas las herramientas nos permitirá exportar informes y presentar evidencias, lo cual es bastante útil sobre todo de cara a presentar a la Dirección o a los diferentes departamentos implicados en el proceso de cumplimiento.

Smart GDPR no está orientada a pequeñas empresas o entidades con reducidas obligaciones en privacidad, si bien es verdad que el rol de Delegado de Protección de Datos podemos derivarlo a una persona de la organización que podrá hacer parte de esas funciones.

A nivel general, si tuviéramos que daros una valoración de la herramienta, os diríamos que la misma a nivel global puede ayudar y mucho a DPO formales y oficiales a mantener los registros de actividades y los responsables funcionales, en pleno rendimiento. Su batería de cuestiones es una gran estrategia para mantener el sistema actualizado y trazar planes de acción generales. Sin embargo, tiene que mejorar su gestión de riesgos y dotar de un sistema de análisis y evaluación, que permita incorporar una metodología reconocida (sea Magerit, ISO 31000…). Sin duda es una herramienta que seguiremos de cerca y que como DPO, tendremos que tener en cuenta. Si nuestra cartera de clientes es amplia, o nuestro grupo empresarial es complejo, os recomendamos que pidáis una demo. Si quieres más información, visita www.smartglobalprivacy.com

Gracias a Smart GDPR

Aranzazu Pecharroman

DPO, Derecho de las TIC, Compliance Officer Auditora Seguridad de la Información y TI