El Documento de Aplicabilidad: un documento único para atarlos a todos

– Información al lector – tiempo aproximado de lectura: 5 minutos

La llegada del RGPD (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE) ha conllevado muchos cambios y novedades en la forma de entender y aplicar todo lo relativo a la privacidad y a la protección de datos personales, siendo la principal la exigencia de la responsabilidad proactiva por la que el responsable del tratamiento es responsable del cumplimiento y asimismo de ser capaz de demostrar la aplicación de los principios del tratamiento (artículo 5.2) de la prestación del consentimiento del interesado (considerando 42) de la aplicación de medidas de seguridad apropiadas, oportunas y eficaces y de la conformidad con lo establecido con el RGPD (considerando 72) siendo responsable de ello (artículo 24).

¿Y si para afrontar esta enorme exigencia de responsabilidad se dispusiera de una herramienta que facilitara la demostración de su cumplimiento? ¿Y si se dispusiera de un único documento organizado y estructurado que ayudara a estar en condiciones de demostrar todo lo que exige la normativa?

Hemos desarrollado el DOCUMENTO DE APLICABILIDAD: un documento único que atrae y reúne todos documentos y tareas para aplicar todo lo exigido por la normativa de privacidad y de protección de datos personales.

Nuestro documento de aplicabilidad, de igual forma, organiza los conceptos, las tareas a realizar y los documentos que se han de redactar.

Organizando conceptos

Oímos y leemos los conceptos de política y de medidas aplicados al ámbito de la privacidad. Así el Considerando número 78 nos dice que el responsable del tratamiento debe adoptar políticas internas y aplicar las medidas, el artículo 24.2 se refiere a la aplicación por parte del responsable del tratamiento de las oportunas políticas de protección de datos y de forma concluyente el artículo 39 asigna como una de las funciones del Delegado de Protección de Datos (en el apartado 1.b) supervisar las políticas del responsable del tratamiento en materia de protección de datos personales. También se nos habla por todo el texto del RGPD de las medidas técnicas y organizativas y en todo momento del cumplimiento de las normas.

Así pues, tenemos políticas, normas, y medidas organizativas y técnicas ¿cómo organizar unas y otras? Hemos configurado nuestro documento de aplicabilidad de la siguiente forma.

Políticas

Una política es una intención y una dirección general expresada formalmente para hacer posible la conformidad de la actividad desarrollada con los requerimientos normativos o reguladores aplicables.

Así, entendemos la política de privacidad como el conjunto de todas las políticas mantenidas por el responsable del tratamiento que son:

La política de información, que determina cómo se proporcionará información a los interesados en la fase previa al tratamiento de sus datos durante el mismo y con ocasión del mismo y en los supuestos de comunicación o cesión de los datos.

La política de tratamiento y cesión, que determina la aplicabilidad de las normas para realizar un tratamiento o cesión o comunicación de los datos de forma correcta y conforme a lo previsto en la normativa aplicable.

Y la política de seguridad, que determina lo necesario a implementar para mantener la integridad, disponibilidad y la confidencialidad de los datos personales tratados así como la propia resiliencia del sistema.

Normas

Las normas son los conjuntos de reglas a respetar y vienen determinadas por lo establecido en la legislación aplicable (tanto europea como española, y correspondiente al ámbito material donde desarrolle el responsable su actividad empresarial o profesional) así como en ocasiones en los convenios colectivos aplicables al sector donde el responsable del tratamiento desarrolle su actividad. También vienen determinadas por lo que el responsable del tratamiento considere oportuno como reglas voluntarias adicionales propias que sean adecuadas a la actividad desarrollada donde se emplea el tratamiento de datos personales, o también por la adhesión a un determinado código de conducta.

Las normas configuran el contenido de las medidas de seguridad y son conformes a los objetivos marcados por las políticas definidas.

Medidas de seguridad

Las medidas de seguridad pueden ser organizativas y/o técnicas y establecen los protocolos necesarios para cumplir con las exigencias y mandatos establecidos por las normas dentro del ámbito y objetivos marcados en cada política.

Las medidas organizativas determinan la forma en que se ha de organizar cada recurso o activo del sistema de información para que debidamente estructurado y coordinado con los demás pueda cumplir con todas las finalidades establecidas en las normas.

Las medidas técnicas son las diversas implementaciones de las aplicaciones necesarias en el sistema de información o de la instalación de los elementos físicos que se han de emplear en la actividad, así como la configuración de los mismos para realizar los distintos tratamientos de datos.

Organizando tareas

El RGPD también nos exige realizar una serie de tareas. La más destacable es la determinación de las medidas de seguridad conforme exijan los resultados de los análisis de riesgos realizados (artículo 32) y en su caso de las posibles evaluaciones de impacto (artículo 35).

También hemos de realizar comprobaciones y revisiones de las medidas de seguridad (artículo 32.1.d) así como en su caso notificar una posible violación de seguridad de los datos personales a la Agencia Española de Protección de datos (artículo 33) o comunicarlo en su caso a los interesados (artículo 34)

Organizando documentos

De igual forma también es necesario tener organizados y en su caso registrados todos los documentos que se han de redactar por parte del responsable del tratamiento: desde las cláusulas informativas a los interesados (artículo 12) a los contratos de encargo de tratamiento por cuenta de tercero (artículo 28)

Todos los documentos que se generen pueden ir almacenándose y acumulándose uno tras otro o estar debidamente organizados y registrados en este documento único.

Responsable del tratamiento: ¡ organízate !

En nuestra tienda on line podrás adquirir próximamente el documento de aplicabilidad.

DESCARGA

Es totalmente editable y personalizable. Configura los diversos ANEXOS y cumplimenta los REGISTROS necesarios para cumplir con todo lo exigido por la normativa de privacidad y protección de datos de carácter personal.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *