La APEP nos ofrece un decálogo con recomendaciones básicas para la contratación de proyectos de adecuación al RGPD.
¿Recuerdas la campaña de la Agencia Española de Protección de Datos (AEPD) contra las famosas prácticas “LOPD a coste cero”? La Agencia, muy acertadamente, denunció las prácticas desleales y fraudulentas que venían sucediéndose en el mercado y que, además de crear una gran inseguridad jurídica, perjudicaban enormemente a los profesionales bien formados que ofrecían servicios de calidad.
Dichas prácticas consistían en ofrecer servicios de consultoría y adecuación a la normativa de protección de datos con cargo a los créditos que las empresas tenían para la formación de sus empleados, los llamados “créditos Fundae”, lo que suponía un ahorro de los honorarios del consultor, así como el IVA de los mismos, provocando no solo un fraude a los trabajadores, sino un desequilibrio enorme en el mercado. En entradas anteriores Gimeno Compliance ya denunció estas prácticas. Pinchado en el siguiente enlace puedes leer nuestra anterior entrada “RGPD a “coste cero”: cuando lo barato sale caro”.
Tras esta campaña de denuncia, ahora la Asociación Profesional Española de Privacidad (APEP) ha elaborado un decálogo con recomendaciones básicas que tener en cuanta a la hora de contratar un proyecto de adaptación a la normativa de protección da datos.
-
La adecuación es una labor conjunta entre consultora y la organización. Tanto la adecuación al RGPD como mantener este cumplimiento legal en el tiempo requiere que el cliente esté concienciado; incluso es necesario que determinadas personas de la organización intervengan activamente en el proyecto. Si en el proyecto sólo trabaja y se compromete la consultora, si le ofrecen un documento para que lo firme sin haber estudiado su empresa es muy posible que NO ESTEMOS ANTE UN BUEN PROYECTO.
-
La responsabilidad activa es un proceso de mejora a mantener a diario. Es necesario poder demostrar debida diligencia. Por tanto, requiere labores para mantener un adecuado nivel de cumplimiento en el tiempo. Si todo el proyecto se ciñe a la entrega de una documentación tras rellenar unos cuestionarios, y no se definen acciones que han de tener su continuidad en el tiempo, definitivamente NO ESTAMOS ANTE UN BUEN PROYECTO.
-
El análisis jurídico debe entender los tratamientos de datos y, por tanto, es un estudio a medida. Con independencia del procedimiento utilizado, su asesor debe conocer en profundidad su empresa u organización visitándola físicamente si procede, y lo habitual es que así sea si se quiere diseñar medidas de seguridad en relación con el entorno físico. Si Vd. no percibe ese interés en indagar sobre el funcionamiento real de la organización en todos los ámbitos afectados por el alcance del trabajo solicitado (físico, informático, de gestión, etc.) NO ESTAMOS ANTE UN BUEN PROYECTO.
-
El proyecto debe incluir formación para asegurar conocer la problemática y asegurar la transferencia de conocimiento. Las formas de llevar a cabo la formación pueden ser diversas, pero deben permitir contestar afirmativamente a las siguientes cuestiones. Si la respuesta es negativa, NO ESTAMOS ANTE UN BUEN PROYECTO. ¿Incluye medidas para que los usuarios tomen conciencia de la importancia del derecho fundamental a la protección de datos personales? ¿Precisa las obligaciones impuestas por la normativa y cómo cumplirlas? ¿Transmite las consecuencias de su incumplimiento?.
-
La adecuación supondrá cambios en los procesos y nuevas tareas, no solo documentación. Si tras el análisis de su organización no se han identificado las buenas prácticas y no se han propuesto correcciones a las que pudieran ser inadecuadas NO ESTAMOS ANTE UN BUEN PROYECTO.
-
La adecuación llega cuando se ponen en marcha procesos y tareas para vigilar el cumplimiento. No podemos conformarnos con un registro de actividades de tratamiento “para archivar” o un análisis de riesgos estándar que proporciona un conjunto de medidas de seguridad “pendientes de implementación” como meras recomendaciones en el mejor de los casos. La plena adaptación no concluye hasta que las medidas se hayan implementado y verificado su eficacia. En caso contrario, NO ESTAMOS ANTE UN BUEN PROYECTO.
-
El consultor debe acreditar formación que le capacite profesionalmente y experiencia en privacidad para aportar valor y resolver problemas. La recogida de información debe realizarla una persona con formación cualificada que le permita adquirir la capacitación profesional que la aplicación de la normativa exige. Se requieren conocimientos tanto en el ámbito jurídico como tecnológico y organizativo. El consultor debe poder acreditar su formación y experiencia y una forma de hacerlo es a través de una certificación profesional, como puede ser la certificación ACP de APEP que reconoce formación universitaria y propia. Cuando nuestro interlocutor en la consultora no reúna estos requisitos, NO ESTAMOS ANTE UN BUEN PROYECTO.
-
No existen certificados de cumplimiento a Organizaciones todavía y los que genera una consultora no tienen relevancia externa. El RGDP regula la certificación de cumplimiento en el Artículo 42 y garantiza unos requisitos formales para los Organismos de Certificación según el Artículo 43 que aseguren la independencia de los mismos. En España todavía no se han desarrollado los marcos de certificación para entidades, pero será una labor desarrollada por la AEPD junto con ENAC. Los certificados emitidos por empresas que a su vez ejercen labores de consultoría no garantiza los requisitos de independencia necesarios. Este certificado no lo protegerá ante malas prácticas, denuncias, inspecciones ni las sanciones que se puedan derivar. Si un proyecto le ofrece esta “garantía”, NO ESTAMOS ANTE UN BUEN PROYECTO.
-
Aunque le aseguren asumir daños por infracciones, en caso de sanción, su reputación no se recuperará si se ve envuelto en una brecha de seguridad. Aunque se contrate la cobertura de un seguro, Vd. siempre se enfrenta al riesgo que para la reputación de su organización comporta la declaración de una infracción y su sanción y publicación en la web de la AEPD. La confianza de sus clientes no la garantiza ninguna aseguradora, exige un esfuerzo cotidiano. Si su consultora no le ha advertido de la necesidad de adoptar medidas de seguimiento y control, si no le ha indicado la importancia de verificar su seguridad cíclicamente y corregir cualquier defecto o incidencia que advierta, si le garantizan que no pasará nada que “el seguro lo cubre todo” NO ESTAMOS ANTE UN BUEN PROYECTO.
-
La consultoría supone horas del profesional. No puede ofrecerse de forma gratuita ni desviar fondos de formación subvencionados a ese fin. En ocasiones, nos ofrecen un proyecto de adaptación al RGPD con anuncios como “esto no nos va a costar nada, o casi nada, ya que aprovecharemos una subvención de otra cosa para pagarlo”. El asesoramiento jurídico y técnico no puede venderse a 2X1. Si Vd. es empresario, si administra una organización sabe perfectamente que ofrecer dos servicios por uno, y generalmente a precios por debajo de los del mercado es un negocio ruinoso. Cuando una empresa nos ofrezca un servicio de esta naturaleza es muy probable que nos esté animando a cometer un fraude, Si nos dicen “esto es gratis”, o “se lo regalo con un proyecto de formación subvencionada” NO ESTAMOS ANTE UN BUEN PROYECTO.
Gimeno Compliance cumple paso por paso cada una de estas recomendaciones, ofreciendo un servicio completo y totalmente personalizado. Numerosos proyectos de adaptación nos avalan. Ponte en contacto con nosotros y solicita tu presupuesto sin compromiso.