Com puc demostrar que la meva organització compleix amb el GDPR?


Manuel Castilleja Toscano     21/11/2023

1. INTRODUCCIÓ

El principi de responsabilitat proactiva és l'essència del GDPR i, d'acord amb aquest, tota organització és responsable del compliment de tots els principis de protecció de dades, així com de demostrar aquest compliment.

El GDPR proporciona un conjunt d'eines a les organitzacions perquè puguin demostrar aquest compliment, algunes de les quals s'han d'aplicar obligatòriament, per exemple, i entre d'altres:

  • Elaborar un registre de totes les activitats de tractament (RAT) que es duguin a terme com a responsables i/o com a encarregats.
  • Dur a terme una gestió adequada de riscos de tots els tractaments.
    • Identificació, anàlisi i avaluació daquests riscos.
    • Adopció de mesures de seguretat adequades a aquests riscos.
  • Dur a terme una avaluació dimpacte relativa a la protecció de dades quan sigui probable que un tipus de tractament comporti un alt risc per als drets i llibertats de les persones físiques.
  • Designar un delegat de protecció de dades (DPO), si és obligatori.
  • Notificar les bretxes de seguretat, en cas que es produeixin.

El GDPR disposa d'altres mecanismes per garantir que s'han implementat mesures adequades de protecció de dades i acreditar-ne el compliment. Aquests mecanismes pretenen incrementar la confiança i la transparència de les actuacions dutes a terme amb dades personals per responsables i encarregats del tractament. Aquests instruments, conforme al Reglament són:

  • Auditories.
    Codis de conducta:     per a associacions o organismes que representin categories de responsables o encarregats del tractament. (art.40 GDPR).
    Mecanismes de certificació:     per a responsables o encarregats del tractament a títol individual (Certificats, Segells i Marques de protecció de dades). (art.42 GDPR).

2. AUDITORIES

Una auditoria és un instrument a través del qual es duu a terme un control (intern o extern) per determinar si l'entitat compleix amb allò establert al GDPR, per tant, serà una garantia de compliment que permetrà verificar que s'estan duent a terme adequadament les obligacions legals, tècniques i organitzatives implementades pel responsable o l'encarregat del tractament i, si no, identificar en quines s'ha d'actuar per resoldre les possibles incidències detectades en base a l'anàlisi efectuada i les evidències generades.

Caldria diferenciar entre:

  • Auditoria de seguretat o mesures tècniques: controls físics i lògics del sistema d'informació.
  • Auditoria legal del tractament de dades personals: controls orientats al compliment normatiu.

L'auditoria de seguretat és part intrínseca del conjunt que forma el concepte d'auditoria, ja que les mesures tècniques i organitzatives adoptades van orientades al compliment normatiu.

Mancant una regulació específica del GDPR, considerem que s'hauria de dur a terme l'auditoria de protecció de dades, tant des del punt de vista de la seguretat com del compliment normatiu.

Quan no sigui possible fer auditories externes (de segona part) amb una periodicitat determinada, s'haurien de dur a terme auditories internes (de primera part), amb la periodicitat que la dimensió dels tractaments faci recomanable.

Per tant, l'auditoria permetria comprovar l'eficàcia operativa del sistema de compliment, amb l'obtenció d'evidències documentades i justificades per complir el deure de diligència i garantint, en cas que calgués, si aquest model funciona correctament.

A l'informe d'auditoria, cal indicar:

  • Desviacions: que s'han de resoldre mitjançant un pla d'accions correctives (PAC).
    • No Conformitats més grans.
    • No Conformitats menors.
  • Recomanacions:
    • Troballes que en el present no incompleixen un requisit del GDPR, però potencialment, si no es tracten, poden evolucionar cap a No Conformitats.
    • Oportunitats de millora.
  • Conformitats:
    • Conformitat en si.
    • Punts forts.

3. CODIS DE CONDUCTA

Els codis de conducta constitueixen una mostra del que s'anomena autoregulació, és a dir, la capacitat de les entitats, les institucions i les organitzacions per regular-se a si mateixes.

En matèria de protecció de dades, són mecanismes de compliment voluntari en què s'estableixen regles específiques per a categories de responsables o encarregats del tractament amb la finalitat de contribuir a la correcta aplicació del GDPR.

Les disposicions recollides als articles 40 i 41 del GDPR pel que fa als codis de conducta representen un mètode pràctic, potencialment rendible i valuós per assolir nivells superiors de coherència de la protecció per als drets de protecció de dades. Aquests codis poden actuar com un mecanisme o instrument que acrediti el compliment del GDPR en regular àmbits com el tractament lleial i transparent, els interessos legítims, la seguretat i la protecció de dades des del disseny i per defecte, i les obligacions del responsable del tractament .

Concretament, poden contribuir a eliminar les llacunes dharmonització que puguin existir entre els Estats membres en laplicació de la legislació en matèria de protecció de dades. Així mateix, ofereixen l'oportunitat a sectors concrets de reflexionar sobre les activitats comunes de tractament de dades i acordar normes de protecció de dades adaptades i pràctiques, que satisfacin les necessitats del sector i compleixin els requisits del GDPR.

Els codis de conducta poden ser d'abast nacional o transnacional si tenen relació amb activitats de tractament a diversos Estats membres de la Unió Europea (UE).

Tots els codis aprovats abans de l'entrada en vigor del GDPR s'han de revisar i avaluar de nou de conformitat amb els requisits del GDPR i sol·licitar-ne novament l'aprovació, d'acord amb el que exigeixen els articles 40 i 41 i amb els procediments descrits a les directrius Directrius 1/2019 sobre codis de conducta i organismes de supervisió amb arreglo al GDPR.

En el cas de transferències internacionals de dades (TID), els responsables o encarregats importadors de dades als quals no s'aplica el GDPR també es poden adherir a codis de conducta aprovats i amb validesa de conformitat amb l'article 40 GDPR, a fi d'oferir garanties adequades en el marc de les TID d'acord amb l'article 46.2.e). Aquests responsables o encarregats han d'assumir compromisos vinculants i exigibles, per via contractual o mitjançant altres instruments jurídicament vinculants, per aplicar aquestes garanties adequades, incloses les relatives als drets dels interessats.

Els responsables o encarregats del tractament subjectes al GDPR (és a dir, els exportadors de dades) poden confiar en un codi destinat a les TID a què s'adhereix un importador de dades en un tercer país per complir les seves obligacions en cas de TID d'acord amb el GDPR sense necessitat que aquests responsables o encarregats del tractament s'adhereixin a aquest codi.

El Comitè Europeu de Protecció de Dades (EDPB) també n'ha adoptat unes directrius 04/2021 sobre els codis de conducta com instruments per a TID

4. MECANISMES DE CERTIFICACIÓ

Els mecanismes de certificació en matèria de protecció de dades, segells i marques de protecció de dades actuaran com a instruments per demostrar el compliment del que disposa el GDPR.

A més de l'adhesió dels responsables o encarregats del tractament subjectes al GDPR, es poden establir mecanismes de certificació, segells o marques de protecció de dades aprovats de conformitat amb l'art. 42, a fi de demostrar l'existència de garanties adequades ofertes pels responsables o encarregats no subjectes al GDPR en el marc de transferències de dades personals a tercers països o organitzacions internacionals d'acord amb l'article 46.2.f). Aquests responsables o encarregats han d'assumir compromisos vinculants i exigibles, per via contractual o mitjançant altres instruments jurídicament vinculants, per aplicar aquestes garanties adequades, incloses les relatives als drets dels interessats.

La certificació serà voluntària i estarà disponible a través d'un procés transparent, no limitarà la responsabilitat del responsable o encarregat del tractament quant al compliment del GDPR i s'entendrà sense perjudici de les funcions i els poders de les autoritats de control competents. un responsable o encarregat de tractament per un període màxim de tres anys i podrà ser renovada en les mateixes condicions, sempre que se segueixin complint els requisits pertinents. La certificació serà retirada, quan sigui procedent, pels organismes de, o si escau per l'autoritat de control competent, quan no es compleixin o s'hagin deixat de complir els requisits per a la certificació.

5. ALTRES GARANTIES DE COMPLIMENT

5.1. Normes corporatives vinculants

Les normes corporatives vinculants (o BCR per les sigles en anglès, Binding Corporate Rules) són les polítiques de protecció de dades personals assumides per un responsable o encarregat del tractament establert al territori d'un Estat membre per a transferències o un conjunt de transferències de dades personals a un responsable o encarregat a un o més països tercers, dins un grup empresarial o una unió d'empreses dedicades a una activitat econòmica conjunta.

Han de ser aprovades d'acord amb l'article 47.1 GDPR per l'autoritat de control competent de conformitat amb el mecanisme de coherència establert a l'article 63 GDPR.

Els grups empresarials interessats en l'elaboració de normes corporatives vinculants poden sol·licitar informació a la següent adreça de correu electrònic:

sgpromocion.autorizaciones@aepd.es

5.2. Sistema de gestió de seguretat de la informació (inclosa la personal) ISO/IEC 27001 – ISO/IEC 27701

Un Sistema de Gestió de Seguretat de la Informació (SGSI), basat en la ISO/IEC 27001 i la seva extensió ISO/IEC 27701:2019 que proporciona les orientacions necessàries per a la implementació adequada d'un Sistema de Gestió de la Privadesa de la Informació ( SGPI), ofereix indicacions de com generar evidències per acreditar el compliment en matèria de protecció de dades dins del context de lorganització.

La certificació en ISO/IEC 27701 juntament amb ISO/IEC 27001 suposaria comptar amb una prova independent del grau de compliment normatiu en matèria de protecció de dades, a més de suposar un instrument perquè les organitzacions ofereixin credibilitat al seu compromís amb la privadesa i les obligacions que implica.

La ISO/IEC 27701 és aplicable a totes les organitzacions que actuen com a responsables, coresponsables i/o encarregats del tractament d'informació personal de tots els sectors i de totes les mides per demostrar el compliment de la normativa de privadesa.

El conjunt de controls de la ISO 27001 per implementar un sistema de gestió de seguretat de la informació s'estén a la ISO 27701 per abordar també el compliment dels requisits de privadesa la qual cosa pot ajudar a demostrar el compliment del GDPR.

5.3. Esquema Nacional de Seguretat

Reial Decret 311/2022, de 3 de maig, pel qual es regula l'Esquema Nacional de Seguretat (ENS), persegueix fonamentar la confiança que els sistemes d'informació prestaran els seus serveis i custodiaran la informació d'acord amb les especificacions funcionals, sense interrupcions o modificacions fora de control, i sense que la informació pugui arribar a coneixement de persones no autoritzades.

Es podria considerar una primera evidència de compliment del GDPR quan el responsable desenvolupa una adequació d'acord amb l'ENS, ja que es podrà relacionar amb l'art. 24.1 del GDPR (específicament al sector públic i, si escau, sector privat quan realitza aquest exercici, o li sigui aplicable).

Mitjançant l'auditoria de l'ENS es podria evidenciar el compliment de controls i mesures tècniques i organitzatives adequades per mantenir el compliment del GDPR i la salvaguarda dels drets dels interessats.

S'haurà de reajustar el procés d'auditoria, d'acord amb la Resolució de 27 de març del 2018, de la Secretaria d'Estat de Funció Pública, per la qual s'aprova la Instrucció Tècnica de Seguretat d'Auditoria de la Seguretat dels Sistemes d'Informació. De manera que l'auditor inclogui els elements complementaris del GDPR a l'auditoria.

Les mesures descrites a l'Annex II del Reial decret 311/2022 poden ser adequades per al control dels riscos de protecció de dades. L'ENS és una norma flexible en el sentit de permetre integrar altres processos i altres controls als exigits, de manera que se'n pot complementar el compliment o alinear-lo amb més normes. Els controls poden ser molt útils per gestionar els requeriments del GDPR i pot ser complementari d'una ISO 27001.

6. FALSES GARANTIES DE COMPLIMENT

La LOPDGDD en la seva Disposició addicional setzena sobre pràctiques agressives en matèria de protecció de dades, conforme al que preveu l'article 8 de la Llei 3/1991 de Competència Deslleial, consideren com a tals i entre d'altres les d'oferir qualsevol tipus de document pel qual es pretengui crear una aparença de compliment de les disposicions de protecció de dades (certificats, acreditacions,…) de manera complementària a la realització d'accions formatives sense haver dut a terme les actuacions necessàries per verificar que aquest compliment es produeix efectivament.