Herramienta de cumplimiento
Descripción y objetivo
Al margen del soporte prestado por el Servicio centralizado, los Responsables del Tratamiento (RT) deben ser capaces de gestionar la privacidad adecuadamente en el día a día. Para ello, se hace indispensable poder contar con una herramienta que cubra adecuadamente todas las tareas que los RT deben llevar a cabo como parte de sus responsabilidades.
Buena práctica
Los Responsables de Tratamiento, como parte de su operativa, deben realizar gestiones derivadas de la normativa de protección de datos. Para desempeñar esta labor de forma ágil y eficiente, deberían contar con una herramienta que facilite su cumplimiento. La herramienta de cumplimiento de protección de datos debería tener en cuenta los siguientes requisitos:
- Ser multiplataforma y de fácil uso.
- Facilitar el cumplimiento de las funciones requeridas por la normativa de protección de datos y su seguimiento.
- Asegurar el mantenimiento actualizado con nuevas funciones o novedades derivadas de la normativa de protección de datos y los dictámenes, guías y recomendaciones de la autoridad de control.
- Alinear su estructura y funcionamiento con las funciones cubiertas por el Servicio centralizado.
- Alinear su contenido y funciones con el resto de elementos del modelo de servicio (normativa interna de protección de datos, procesos clave, procesos de respuesta, supervisión del cumplimiento, etc.).
Ejemplos de implantación
Como ejemplo de esta buena práctica, se podría desarrollar una herramienta de cumplimiento en formato SAAS (Software As A Service), de tal forma que estuviera disponible vía Web para todos los Responsables de Tratamiento (cada uno con su información) a través del navegador. Como parte de las funcionalidades a implementar, que facilitan la gestión de la privacidad, podrían ser:
- Inventario de los activos (personal, equipos, servidores, sistemas, aplicaciones, proveedores, soportes, locales, etc.) y registro de autorizaciones de su uso por parte del personal.
- Gestión de los Procesos Clave (Registro de Actividades de Tratamiento, Análisis de Riesgos y EIPDs, privacidad desde el diseño y por defecto), sobre los propuestos por defecto desde el Servicio centralizado.
- Gestión y registro de los Procesos
de Respuesta (ejercicio de derechos, violaciones de seguridad, reclamaciones de la Autoridad de Control), en colaboración con el Servicio centralizado.
- Gestión de los procesos de Supervisión del Cumplimiento (auditorías, verificaciones, revisiones internas), junto con el almacenamiento de evidencias derivadas.
- Repositorio documental, donde gestionar, actualizar y publicar el material relativo a protección de datos (Normativa Interna, casos resueltos, preguntas frecuentes, cláusulas, plantillas, modelos, contratos, etc.).
- Cuadro de mandos e indicadores de cumplimiento.
- Plataforma de comunicación entre Servicio centralizado y Responsables de Tratamiento, para comunicar novedades, lanzamientos, avisos, etc. y viceversa, para comunicar dudas, sugerencias, incidencias, etc.