Desarrollando una adecuada política de privacidad

Desarrollando una adecuada política de privacidad

La política de privacidad no es solamente un listado de obligaciones, sino el corazón de cualquier empresa.

Uno de los principios fundamentales en el tratamiento de los datos personales, está desarrollado en el artículo 5, apartado f) del RGPD, donde se establece el Principio de Integridad y Confidencialidad, que nos ayudará a desarrollar una adecuada política de privacidad, indicando que los datos personales serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.

El RGPD dispone de herramientas para garantizar el cumplimiento de este principio, al incluir algunas disposiciones orientadas a la puesta en marcha de medidas técnicas y organizativas que nos permitan garantizar la seguridad de los datos. Estas medidas están recopiladas en el Capítulo IV Responsable del tratamiento y encargado del tratamiento y organizadas en los siguientes apartados:

  1. Obligaciones generales (artículos 24 a 31)
  2. Seguridad de los datos personales (artículos 32 a 34)
  3. Evaluación de impacto relativa a la protección de datos y consulta previa (artículos 35 y 36)
  4. Delegado de protección de datos (artículos 37 a 39)
  5. Códigos de conducta y certificación (artículos 40 a 43)

Aunque a menudo se critica al RGPD por su falta de coherencia general, es cierto que existen menciones a conceptos duplicados y en algunos casos aparentemente contradictorias (aunque esto sería objeto de otro post), en realidad el reglamento nos permite desarrollar a través de unas definiciones generales, una adecuada política de privacidad dentro de cualquier organización.

En realidad RGPD permite desarrollar verdaderas políticas de privacidad ajustadas a cualquier entidad, dejando de lado el café para todos que nos servía el antiguo marco normativo, con lo que los consultores tienen que demostrar su autentica valía al poner en marcha soluciones personalizadas y no basarse en plantillas de políticas que podían servir para diferentes entidades.

Pero vayamos ahora al fondo de la cuestión y veamos cuales son estas medidas de seguridad.

Medidas de seguridad para desarrollar la responsabilidad del responsable frente a los tratamientos de datos:

  1. Desarrollar acuerdos de confidencialidad con el personal en función de su nivel de autorización.
  2. Revisar y desarrollar los contratos con los Encargados del Tratamiento que tendrán acceso a la información de la entidad
  3. Determinar si existen Corresponsables del Tratamiento y desarrollar los acuerdos de esta colaboración
  4. Examinar los Destinatarios del Tratamiento.

Medidas de seguridad para diseñar una adecuada estructura organizativa:

  1. Desarrollo de los procedimientos adecuados para la ejecución de los derechos de los interesados.
  2. Desarrollar una autentica política de protección de datos desde diseño y por defecto para evaluar los riesgos de forma correcta antes de iniciar el tratamiento.
  3. Análisis de los riesgos de los tratamientos de datos que se estén llevando a cabo.
  4. Realizar una Evaluación de impacto, si existen riesgos evidentes para los derechos y libertades de los interesados.
  5. Creación de procedimientos adecuados para lar comunicación y resolución de brechas de la seguridad.

Medias de seguridad para diseñar una estructura técnica:

  1. Planificar un adecuado acceso a equipos y redes informáticas, basándose en roles y perfiles.
  2. Si existen categorías especiales de datos, analizar como y quién tiene acceso.
  3. Establecer medias técnicas para la protección de equipos y las redes informáticas.
  4. Desarrollar una adecuada política de copias de seguridad, que sea verificable.
  5. Estudiar el transporte y transmisión de datos en los casos que se realice y sus riesgos.
  6. Si se realizan transferencias internacionales, planificar las medidas organizativas y técnicas para que se lleven a cabo correctamente.
  7. Crear una adecuada política de destrucción de datos cuando se establezca el plazo de finalización de su uso.

Como se puede ver, el desarrollo de una adecuada política de privacidad va más allá de copiar y pegar un texto de cualquier página web. La política de privacidad ha de ser el centro de toda la gestión del tratamiento de datos personales de la entidad.

Esta política ha de ser desarrollada contando con todos los miembros de la empresa: IT, depto. Jurídico, RRHH, MK, etc., para poder tener una visión general de toda la compañía y dar una respuesta real a todas las casuisticas que pueden suceder durante el día a día de la gestión de los datos.

No es algo que se pueda dejar solamente al departamento de informática, ni siquiera a gerencia: ha de ser un trabajo conjunto contando, cuando sea necesario, con asesoramiento especializado.

Photo by Tony Webster on Foter.com / CC BY-NC

One thought on “Desarrollando una adecuada política de privacidad

  1. Rosa Reply

    Impecable y clarificador como siempre. A ver si entre todos conseguimos que las empresas y los profesionales tomen conciencia de la importancia y trascendencia que tiene este cumplimiento normativo, porque he visto «documentaciones» -por las que las empresas han pagado- que son una auténtica estafa: sancionables y sin adaptar la empresa a la normativa.
    Ya no es sólo el copio, recorto y pego, sino la falta de responsabilidad más absoluta por lo que los ignorantes, desconocedores y no profesionales , cobrando a las empresas, les hacen un flaco favor.
    Pero como este es el país de «esto lo hago yo o mi cuñao» pasa lo que pasa. Yo he oido a un «asesor tecnológico», de esos que prestan servicios desde la administración local o regional que hacen competencia desleal, contestar a una pregunta de un emprendedor de comercio electrónico sobre la protección de datos para incorporarlo en su tienda on line «que no se preocupara tanto por lo de la LOPD porque se le facilitaría las coletillas para poner una SOLUCIÓN TEXTUAL».
    Por favor, empresas, profesionales, corporaciones, instituciones…trabajen sólo con profesionales expertos, conocedores de la ley y del derecho, competentes en seguridad informática y jurídica y abandonen esas prácticas de comprar barato. Eso es sólo para ricos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.