LegalToday

Por y para abogados

Portal jurídico de Thomson Reuters, por y para abogados

09/07/2020. 23:06:03

LegalToday

Por y para abogados

Blog de Snacks Tech & Lex

Cómo cumplir con el RGPD y no morir probándolo

Socio fundador de Avezalia, firma especializada en el asesoramiento jurídico integral TIC

La cuenta atrás corre que te escarba. Queda muy poco para el 25 de mayo, fecha en la que será de aplicación el Reglamento Europeo de Protección de Datos o RGPD o GDPR.

Protección datos

Dicho normativa, de aplicación directa a todos los estados miembros de la UE, establece un principio fundamental, cual es el de responsabilidad proactiva, lo que se conoce en el mundo anglosajón como accountability, que traducido viene a decir que ya somos mayores de edad para aplicar las medidas técnicas y organizativas que estimemos oportunas para garantizar y poder demostrar que el tratamiento de los datos personales es conforme al RGPD.

Una de las cuestiones más controvertidas a la hora de probar el cumplimiento del RGPD será cuando contratemos con los encargados del tratamiento, ya que debemos hacer una labor policial (hasta ahora se hacía con la comprobación de la inscripción de los ficheros y con el documento de seguridad) contratando única y exclusivamente con aquellos que garanticen que cumplen, a su vez, con el RGPD. Y no sólo el contrato de encargado del tratamiento es suficiente.

Es cierto que el RGPD nos da soluciones, como la adhesión a códigos de conducta o mediante certificación. Pero dichos medios no son obligatorios, y en un principio pocos estarán adheridos o certificados. Por tanto, hay que buscar otras vías. ¿Cuáles? Por ejemplo, acreditar que se han implementado las medidas técnicas y organizativas necesarias atendiendo al nivel de riesgo que presente la organización; no tenemos el documento de seguridad ni la inscripción de los ficheros, pero tenemos el registro de actividades del tratamiento, los análisis de riesgos, protocolos de actuación, etc. 

También cabe auditar al encargado, pero a nadie le gusta que le examinen.

Una garantía de cumplimiento es el nombramiento de un delegado de protección de datos (DPD), por lo que si el encargado lo tiene, también tiene una presunción de cumplimiento efectivo, al actuar como garante.

En cuanto al contrato de encargado de tratamiento, aconsejamos que se haga por separado al de prestación de servicios que corresponda, pues éste último puede tener datos confidenciales que no es preciso revelar.

Hay encargados del tratamiento que son muy celosos de su documentación. Lo entendemos. Pero sin un mínimo de prueba del cumplimiento no es recomendable contratar, por mucho que nos juren y perjuren que cumplen, aun por escrito.

El ingreso mínimo vital

El Real Decreto-ley 20/2020, de 29 de mayo, ha establecido el ingreso mínimo vital, con la finalidad de garantizar una mejora...

Los efectos de la declaración de simulación

En los últimos tiempos hemos sido testigos de numerosos procedimientos en los que la Agencia Tributaria ha modificado la calificación de...

Dies a quo para el cómputo de los permisos cuando el hecho causante coincide en festivo para el trabajador

La representación letrada de varios sindicatos interponen demanda de conflicto colectivo ante la AN solicitando que el "dies a quo" del cómputo...

Régimen jurídico de la incapacitación en España

La incapacitación comprende una institución por medio de la cual la parte interesada conforme a la ley, requiere de una autoridad judicial...

¡Cuánto hemos cambiado los jueces españoles en la UE! El segundo informe REDUE (2020)

Puede que no haya actividad más nostálgica que repasar las viejas fotografías de nuestras vidas, de nuestras familias, de nuestros amigos, de...