Madurez adaptativa
Descripción y objetivo
Cuando se dispone de un conjunto heterogéneo de Responsables de Tratamiento (RT), debería tenerse en cuenta que el nivel de madurez (en términos de cumplimiento de privacidad y seguridad) de cada uno de ellos puede variar sustancialmente, partiendo desde el nivel de madurez más bajo (aquellos que no tienen nada implantado) hasta el más avanzado (aquellos que tienen todo implantado, están certificados, etc.). El Servicio centralizado debería ser capaz de dar un soporte adaptado a cada nivel de madurez, de tal forma que se acompañe a cada RT de la forma más adecuada en cada etapa.
Buena práctica
Como buena práctica, el Servicio centralizado debería organizarse internamente para prestar el soporte adecuado en función del nivel de madurez del RT, teniendo en cuenta los siguientes requisitos:
- Definir y tipificar los diferentes niveles de madurez en los que pueden encajarse cada RT.
- Definir los itinerarios de actividades a realizar para pasar de un nivel de madurez a otro, y se pongan a disposición de los RT.
- Controlar desde el Servicio centralizado en qué nivel de madurez se encuentra cada RT.
- Estratificar, en la medida de lo posible, cada elemento del servicio en función del nivel de madurez del RT que lo está consumiendo.
Ejemplos de implantación
Como ejemplo de implementación de esta buena práctica, en relación a los elementos descritos en esta guía, se podrían definir los siguientes niveles de madurez en los RT (son acumulativos):
Nivel 0:
- Adhesión al Servicio centralizado + notificación del DPD a la Autoridad de Control + Ventanilla Única + Soporte Especializado.
Nivel 1:
- Responsabilidades internas designadas + distribución de Normativa Interna + Herramienta de Cumplimiento instalada + cláusulas firmadas con empleados y proveedores.
Nivel 2:
- Cursos formativos realizados por el personal clave + implantación de Procesos Clave y Procesos de Respuesta + Implantación de medidas de seguridad y privacidad.
Nivel 3:
- Herramienta de Cumplimiento completada + personalización de los procesos y procedimientos en función de las características del RT + Supervisión del Cumplimiento en modo autoevaluación.
Nivel 4:
- Supervisión del Cumplimiento en modo verificación interna o auditoría anuales, superando el umbral mínimo de cumplimiento en todos los ámbitos + cursos de formación periódicos.
Nivel 5:
- Adhesión al Código de Conducta y/o Certificación de Privacidad obtenida.
En base a estos niveles de madurez, el Servicio centralizado podría adaptar sus elementos acordes al nivel de madurez, por ejemplo: obligando a alcanzar el nivel 3 para poder optar al Seguro de Protección de Datos en las condiciones pactadas o reduciendo la cuota del seguro cuando están en nivel 5 (previo pacto con la entidad de seguros), lanzando procesos de supervisión acordes al nivel, lanzando cursos de formación más avanzados, asignando personal más especializado de Soporte, etc.
