Cumplimiento de procesos clave de privacidad
Descripción y objetivo
La normativa de protección de datos obliga a realizar ciertos procesos que pueden ser costosos de implantar y mantener, como son los de Privacidad por defecto (PpD) y desde el diseño (PdD), análisis de riesgos (AARR) y evaluaciones de impacto (EIPD) o el registro de actividades de tratamiento (RAT). El objetivo del Servicio centralizado sería optimizar esfuerzos sobre los elementos comunes de los Responsables de Tratamiento (RT), con el fin de que estos minimicen los esfuerzos requeridos para su implantación.
Buena práctica
Teniendo en cuenta que una de las premisas iniciales es que el Servicio centralizado presta soporte a Responsables de Tratamiento con características similares o del mismo del sector, es de esperar que compartan similitudes en los tratamientos y operativa realizada. Partiendo de esa base, desde el Servicio centralizado se debería realizar el trabajo de estandarizar la parte común de los procesos clave de privacidad mencionados, de tal forma que sea utilizable por defecto por la gran mayoría de los RT, lo cual les facilitaría en gran medida su labor. Como parte de este trabajo de estandarización y cumplimiento de los procesos clave de privacidad, se deberían tener en cuenta los siguientes requisitos:
- Analizar todos los factores que existen en común en los RT, que afecten a los procesos clave.
- Analizar aquellos factores específicos que podrían variar entre diferentes RT.
- Diseñar soluciones estandarizadas, basadas en los factores comunes, válidas para todos o la gran parte de RTs.
- Elaborar procedimientos (e incluirlos en la normativa interna) que indiquen al RT como utilizar y complementar las soluciones estandarizadas en su organización.
- Diseñar, implementar y poner a disposición de los RT, las herramientas necesarias que permitan personalizar, complementar y/o adaptar las soluciones estandarizadas a sus características, si fuera el caso.
- Actualizar periódicamente las soluciones estandarizadas y las herramientas, para adecuarlas a la realidad normativa y operativa de los RT.
Ejemplos de implantación
Como ejemplo de esta buena práctica, se podrían realizar las siguientes labores de estandarización:
RAT:
- Desde el Servicio centralizado se podría analizar los tratamientos que son comunes a cada tipología de RT, y elaborar y mantener un RAT que comparta los elementos comunes a cada una de estas tipologías (previa validación por los Órganos Consultivos y de Gobierno). Este RAT común se pondría directamente a disposición de los RT a través de la Herramienta de Cumplimiento, desde donde podrían añadir, eliminar o modificar los tratamientos, según sus necesidades o características propias.
Privacidad por defecto (PpD):
- Desde el Servicio centralizado se podría evaluar las medidas de seguridad y privacidad que afectan al RT, derivadas de: normativa de protección de datos, legislación general de aplicación (ej: ENS), legislación específica del sector, normativas internas, etc. Con el listado completo de medidas de seguridad y privacidad aplicables, se podría elaborar un marco de control, consolidando y unificando aquellas medidas similares, y adaptando las que sea posible a la realidad de los RT. Al margen de las medidas que, por defecto, sean necesarias cumplir en todos los tratamientos, el marco de control podría contemplar la segmentación del resto de medidas en relación al riesgo de privacidad (por ejemplo, en tres niveles: Bajo, Medio y Alto).
AARR y EIPD:
- Una vez que existe un inventario común de tratamientos, se podría realizar un análisis de necesidad de EIPD, basado en las características y operativas más comunes de los RT. En función de los resultados de ese análisis, se podría estandarizar la parte análisis de factores intrínsecos del AARR y EIPD, obteniendo como resultado los niveles de riesgo asociado a cada tratamiento, y por tanto el marco de control de medidas aplicable a cada nivel de riesgo. De esta forma, los RT tendrían conocimiento de qué medidas de seguridad y privacidad implantar en función del nivel de riesgo de los tratamientos, siempre y cuando las características de sus tratamientos se ajusten a los parámetros comunes. En caso de que no se ajustaran a dichos parámetros, el RT podría personalizarlos a través de la Herramienta de Cumplimiento, desde la que se le informaría de los nuevos niveles de riesgo y EIPD.
Privacidad desde el diseño (PdD):
- Desde el Servicio centralizado se podrían evaluar los escenarios más comunes en los RT que activan el proceso de PdD (ej: Desarrollo de software, adquisición de productos, contratación de terceros, cambio de locales, etc.), de tal forma que se vinculen a cada escenario las plantillas de planes de acción, cláusulas, modelos, etc. que se deben tener en cuenta ante cada situación. Para los escenarios no tipificados, se podría indicar a nivel procedimental como actuar, con el soporte de los marcos de control ya desarrollados.