Normativa interna de protección de datos
Descripción y objetivo
La normativa interna de protección de datos permite a los Responsables de Tratamiento (RT) disponer del soporte documental y procedimental necesario para un adecuado cumplimiento de la normativa de protección de datos. El objetivo de esta normativa interna es servir de referencia para que los RT puedan implantar los procesos propios de privacidad y seguridad derivados, así como cubrir que todos los procesos de negocio que traten datos de carácter personal estén convenientemente adaptados a la normativa de protección de datos, respetando la legislación sectorial que le aplique al RT.
Buena práctica
La normativa interna de protección de datos es y debe ser el pilar bajo el cual se vertebra el cumplimiento de privacidad en la organización del RT. Adicionalmente, debería ser la principal referencia para Soporte Especializado, por lo que cuanto más completa sea ésta, más eficiente será la resolución de consultas. Esta normativa, para que sea útil, completa y efectiva, debería cumplir los siguientes requisitos:
- Contemplar todos los requisitos que apliquen en el ámbito de protección de datos: Normativa europea, normativa estatal y local; dictámenes y guías de las autoridades de control, etc.
- Contemplar todos los requisitos que apliquen en el ámbito sectorial de la organización: legislación específica europea, estatal y local; dictámenes y guías de los organismos superiores, etc.
- Asegurar que sea común y homogénea a cada tipología de organización a la que le afecte las mismas normativas de protección de datos y sectoriales.
- Adaptar los preceptos normativos de protección de datos a la realidad de la organización del RT, de tal forma que permita a la organización cumplir con la normativa de protección en la operativa diaria.
- Aprobar la normativa interna por los Órganos de Gobierno y Órganos Consultivos, con el aval de los comités técnicos involucrados.
- Asegurar que, una vez distribuida a las organizaciones, sea avalada y difundida por el RT, quedando fácilmente accesible para todo el personal implicado.
- Revisar y mejorar regularmente la normativa para actualizar el contenido en base a las novedades normativas, aclaración de interpretaciones, criterios de cumplimiento, resolución de conflictos entre normativa de protección de datos y normativa sectorial, etc.
Ejemplos de implantación
Supongamos que el organismo centralizado presta soporte a tres tipologías de entidades diferentes, es decir, por ejemplo, entidades de tres tipos a las que a cada una le aplica legislación sectorial diferente. En este caso, podría generar una normativa interna con la parte común que afecte a todos los tipos y una parte específica para cada tipo, donde se particularizara la adaptación de la normativa sectorial correspondiente a la normativa de protección de datos (si es que la normativa sectorial afecta en este sentido).
Cada una de las normativas específicas puede enriquecerse con casos resueltos que afecten a cada tipología, con el visto bueno de los Órganos Consultivos en caso de conflicto normativo.
El soporte normativo debería intentar adecuarse a los procesos de gestión documental de las entidades (todo concentrado en un solo documento, dividido en varios documentos, estructura en árbol, solo soporte web, etc.), si bien el objetivo principal es que se garantice que la normativa que queda accesible a los usuarios esté siempre actualizada, aprobada por los órganos de gobierno y avalada por los Responsables de los Tratamientos.