Obligación de acreditar que se cumple con el Reglamento General de Protección de Datos
Desde el 25 de mayo de 2018 se tiene que aplicar el nuevo Reglamento General de Protección de Datos RGPD 2016/679. Todas las empresas que tratan datos de carácter personal deberán aplicar “las medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme al presente Reglamento”.
¿Cómo demuestro que cumplo con los requisitos del Reglamento General de Protección de Datos?
Tenemos la obligación de guardar las pruebas que demuestren que hemos informado correctamente. Que aplicamos determinadas medidas para cumplir con el principio de seguridad. Tendremos un montón de documentación sobre el reglamento. Procedimientos o protocolos internos, cláusulas de información, contratos de encargado del tratamiento, también análisis de riesgo, etc. Entregando toda esta documentación se demostraría que nuestra empresa cumple con el Reglamento.
Documentación interna a entregar sobre el cumplimiento
En caso de auditoría, no facilitar documentación al equipo auditor resultaría perjudicial para nuestra empresa. Además la imagen que se generaría sería distorsionada sobre el nivel de cumplimiento.
Si tenemos que acreditar ante un tercero que en nuestra empresa el tratamiento de datos se realiza conforme al Reglamento, tenemos que tener en cuenta que en esa documentación puede haber mucha información que podría comprometer la seguridad de la misma o si facilitamos todos los folios de un contrato, podrá conocer todas las condiciones económicas que pueden ser confidenciales. Muchos de los documentos que acrediten el cumplimiento también contendrán información que no debemos compartir porque puede ser información confidencial.
Dentro del Reglamento cierta documentación debe estar a disposición de la Agencia Española de Protección de Datos. Esta no debería contener más información que aquella que acredite que el tratamiento es conforme a la norma.
También todas las evidencias, contratos, medidas, controles, etc, se podrían utilizar, aunque restringiendo cierta información, como por ejemplo, el precio o condiciones del servicio, que no aportan nada al fin que perseguimos.
Declaración responsable
La declaración responsable es un documento, regulado en la Ley 39/2015, que pretende agilizar los procesos administrativos, en el que el interesado manifiesta que cumple con unos requisitos normativos y que también dispone de la documentación que acredita ese cumplimiento.
Documentación ante Agencia Española de Protección de Datos
Si la Agencia Española de Protección de Datos nos requiere documentación, se deberá entregar toda la documentación que nos soliciten y aquella que consideremos oportuna para demostrar que el tratamiento de datos se realiza conforme a las estipulaciones del Reglamento.
