Selección, gestión y supervisión de encargados de tratamiento
Desde que se dio a conocer el RGPD, las novedades relativas a la gestión de encargados del tratamiento marcaron un camino claro para las organizaciones que, actuando como responsables del tratamiento, están en la obligación de elegir encargados del tratamiento únicamente a aquellas entidades que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadasy estar en disposición de creer que así lo han hecho. Igualmente, dichos encargados deben garantizar que, durante toda la vigencia del encargo, siguen aplicando medidas apropiadas en términos de privacidad y seguridad y están cumpliendo las instrucciones de los responsables del tratamiento.
Deben englobar no solo los requisitos legales, relacionados con la firma de contratosacuerdos y condiciones para el tratamiento de datos personales, sino que también ha de tener en consideración los riesgos de privacidad y tecnológicos derivados de ese encargo del tratamiento, tanto al inicio de la relación contractual, como durante toda misma. No solo el RGPD, sino también otras regulaciones o estándares relacionados con la privacidad y la seguridad, como puede ser la Directiva NIS2 o la propuesta de Ley de Ciberresiliencia, entre otras, están poniendo el foco en la importancia en la gestión de los riesgos que tienen su origen en la cadena de suministromás conocida como “cadena de suministro” por su traducción al inglés, y por ende en las terceras. En relación con lo anterior, destacamos que, tanto la contratación de un encargado del tratamiento sin garantías suficientes para aplicar las medidas técnicas y organizativas, como el encargo de datos sin previa formalización de un contratosupone una infracción gravetal y como lo tipifica el artículo 73 de la LOPDGDD.
Por último, mencionar que las organizaciones se están esforzando en implantar modelos de gobierno, homologación y control de tercerosque, buscando la revisión continua, engloben de una forma conjunta tanto las garantías más teóricas, como las técnicaspara alcanzar así un modelo de cumplimiento integral y consistente, que ayude a satisfacer los requisitos esperados en relación con el cumplimiento de las principales normativas y mejores prácticas.
Transferencias Internacionales
Tal y como apuntábamos en nuestra publicación sobre los flujos transfronterizos, en el ámbito de las transferencias internacionales se han producido más cambios de los esperados desde la plena aplicación del RGPD, con las dificultades que eso conlleva para las organizaciones. A pesar de las últimas novedades sobre decisiones de adecuacióntodavía existen ciertos retos a futurocomo puede ser la interdependencia tecnológica de las empresas estadounidenses y las dificultades para realizar transferencias a Estados Unidoso el cumplimiento de las exigencias con diferentes regulaciones en el caso de entidades con presencia internacional, por lo que todavía se prevé mucho trabajo en este campo para las organizaciones.
Designación de un Delegado de Protección de Datos
Aunque ya lo analizábamos en otro de nuestros artículos, la figura del Delegado de Protección de Datos (DPD o DPO por sus siglas en inglés) juega un papel fundamental en la gestión de la privacidad y protección de datos personales dentro de una organización. El DPO es responsable de supervisar y asesorar sobre las prácticas de privacidad de la organización, y aunque es el punto de contacto entre la compañía, los interesados y las autoridades de protección de datos debe contar con apoyos de otras áreas tales como el CISO, CDOetc., ya que la privacidad debe ser entendida como transversal a toda la compañía. Durante estos cinco años de aplicación del RGPD, los DPOs se han enfrentado a grandes retos, derivados de las funciones asociadas a su rol.
También queremos destacar que uno de los requisitos que establece el RGPD, que siempre ha generado cierta dificultad o preocupación, es la independencia del DPO. El reflejo de su importancia se constata ahora con el marco de las actividades llevadas a cabo por el Comité Europeo de Protección de Datosque lanzó una iniciativa con el objetivo de analizar y evaluar la designación y situación de los DPOs en las organizaciones de los distintos Estados Miembros, para verificar si las empresas cumplen con los requisitos establecidos en los artículos 37 a 39 del RGPD a la hora de designar un DPO. En cualquier caso, el DPO es un elemento clave en la demostración de la responsabilidad proactiva, así como una ventaja competitivaya que constituye, también, un eje importante para el desarrollo estratégico de la compañía.
Gestión y notificación de brechas de seguridad de los datos personales
Las brechas de seguridad de datos personales son incidentes de seguridad en los que se produce un acceso no autorizado, la pérdida, la destrucción o la alteración de datos personales. Incidentes que, año tras año, se sitúan como una de las principales preocupaciones de las organizaciones[1]tanto en desde un punto de vista de privacidad, como de seguridad.
Artículo fuente