Protección de datos desde el diseño y por defecto

Se trata de una de las obligaciones legales más difíciles de documentar y demostrar. La certificación es el único instrumento reconocido por el Art. 25 RGPD “para demostrar el cumplimiento” de este requisito.

Demostración de la idoneidad de los responsables del tratamiento de datos

El art. 24 del RGPD aclara las obligaciones de los responsables del tratamiento de datos. Menciona dos instrumentos para demostrar dicho cumplimiento: la certificación y los códigos de conducta.

Demostración de la idoneidad de los encargados del tratamiento de datos seleccionados

Según el artículo 28 del RGPD, “el responsable del tratamiento solo recurrirá a encargados del tratamiento que ofrezcan garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas”. El responsable del tratamiento es responsable de las posibles infracciones e incumplimientos de sus encargados del tratamiento de datos. Se espera que realice una evaluación completa de las medidas efectivas que han adoptado sus encargados antes de compartir datos con ellos. Afortunadamente, este artículo reconoce dos instrumentos para evaluar dicha adecuación: la certificación y los códigos de conducta.

Demostrar la idoneidad de las medidas de seguridad

El art. 32 del RGPD exige garantizar un nivel adecuado de seguridad. Al igual que para los encargados del tratamiento, también reconoce como medios "0" la certificación y los códigos de conducta [con auditorías periódicas].

Impacto en las multas administrativas

El artículo 83 del RGPD obliga a tener en cuenta la adopción de una certificación o un código de conducta reconocidos por el responsable o el encargado del tratamiento en caso de incumplimiento, a la hora de determinar el importe de la multa administrativa. Además, tanto la certificación como el código de conducta contribuyen a reducir sustancialmente el riesgo de incumplimiento.

Disponibilidad

La buena noticia es que los criterios de certificación y las SCC están aprobados y disponibles tal como están. La adopción de un código de conducta requiere un esfuerzo considerable. También requiere la movilización de un número representativo de empresas a través de una asociación para desarrollar, implementar y lograr la aprobación del código. El proceso puede llevar varios años. La adopción de normas corporativas vinculantes también requiere la aprobación de la autoridad. El proceso también puede llevar varios años y solo puede ser utilizado por las entidades que forman parte formalmente del mismo grupo empresarial (y no por sus procesadores de datos, por ejemplo).

Universalidad

Las certificaciones SCC y GDPR, como Europrivacy, son independientes de la industria y pueden ser utilizadas por todos los controladores y procesadores de datos. Otras certificaciones pueden estar restringidas solo a los procesadores de datos o a objetivos específicos de evaluación. Las reglas corporativas vinculantes son específicas de la empresa. Los códigos de conducta son específicos de la industria, lo que significa que los controladores y procesadores de datos que comparten datos pueden estar sujetos a diferentes códigos de conducta. Por ejemplo, un código de conducta diseñado para el servicio de hospitalidad no será adecuado para proveedores de servicios como una empresa de contabilidad que trabaja para empresas de hostelería.

Tiempo y esfuerzo

En el supuesto de que una empresa ya cumpla con el RGPD, el tiempo y el esfuerzo necesarios varían según el instrumento. Un SCC requiere que las partes negocien y acuerden los términos del acuerdo. Si una empresa tiene un único socio B2B, es el instrumento más rápido. Sin embargo, si bien se puede utilizar una única certificación con un número ilimitado de responsables y encargados del tratamiento de datos, se debe adoptar y firmar un SCC distinto con todos y cada uno de los socios con los que se comparten datos.

Flexibilidad y adaptabilidad

Algunos instrumentos se centran en los requisitos a nivel de empresa (BCR, CC), mientras que otros se centran en actividades específicas de procesamiento de datos (Certificación, SCC). La primera categoría exige garantizar el cumplimiento a un nivel superior. La segunda categoría permite a las empresas centrar sus esfuerzos en el procesamiento de datos prioritario y dar prioridad a lo más importante.

Fiabilidad

El nivel de fiabilidad depende de la naturaleza de los instrumentos. Por ejemplo, una SCC es un compromiso vinculante asumido por una entidad, pero no hay auditoría ni control del cumplimiento efectivo que la respalde. Por otro lado, una certificación se basa en auditorías periódicas de terceros realizadas por auditores calificados. La Escala de Nivel de Confianza (TSL) proporciona una escala de A (altamente fiable) a I (no fiable en absoluto) para evaluar el nivel de confianza en el cumplimiento efectivo. Cuando se aplica a los cuatro instrumentos, el resultado varía de F para la SCC a A para la certificación.

Creación de valor

Todos los instrumentos contribuyen a respaldar el cumplimiento normativo. Sin embargo, uno de ellos, la certificación, permite convertir el cumplimiento normativo en un activo intangible para la empresa. Al igual que una patente, una certificación constituye un activo intangible de la empresa. Convierte el cumplimiento normativo en una fuente de creación de valor. Puede ser utilizada por el equipo de marketing y ventas como una ventaja competitiva. También puede utilizarse para reducir la incertidumbre con los analistas financieros, los inversores y los accionistas.

La siguiente tabla resume las características de los cuatro instrumentos.

Conclusión

Cada instrumento del RGPD ofrece un conjunto diferente de ventajas y un nivel de fiabilidad en lo que respecta al cumplimiento efectivo. Corresponde al DPD evaluar y elegir el que mejor se adapte a las necesidades de su empleador. Esperamos que este análisis le ayude a comparar y elegir.

En caso de cambiar de opinión, pasar de un instrumento a otro o combinar varios instrumentos es bastante sencillo, una vez haya comprobado y documentado su cumplimiento.

Referencias