Cumplimiento de procesos clave de privacidad

Descripción y objetivo

La normativa de protección de datos obliga a realizar ciertos procesos que pueden ser costosos de implantar y mantener, como son los de Privacidad por defecto (PpD) y desde el diseño (PdD), análisis de riesgos (AARR) y evaluaciones de impacto (EIPD) o el registro de actividades de tratamiento (RAT). El objetivo del Servicio centralizado sería optimizar esfuerzos sobre los elementos comunes de los Responsables de Tratamiento (RT), con el fin de que estos minimicen los esfuerzos requeridos para su implantación.

Buena práctica

Teniendo en cuenta que una de las premisas iniciales es que el Servicio centralizado presta soporte a Responsables de Tratamiento con características similares o del mismo del sector, es de esperar que compartan similitudes en los tratamientos y operativa realizada. Partiendo de esa base, desde el Servicio centralizado se debería realizar el trabajo de estandarizar la parte común de los procesos clave de privacidad mencionados, de tal forma que sea utilizable por defecto por la gran mayoría de los RT, lo cual les facilitaría en gran medida su labor. Como parte de este trabajo de estandarización y cumplimiento de los procesos clave de privacidad, se deberían tener en cuenta los siguientes requisitos:

  • Analizar todos los factores que existen en común en los RT, que afecten a los procesos clave.
  • Analizar aquellos factores específicos que podrían variar entre diferentes RT.
  • Diseñar soluciones estandarizadas, basadas en los factores comunes, válidas para todos o la gran parte de RTs.
  • Elaborar procedimientos (e incluirlos en la normativa interna) que indiquen al RT como utilizar y complementar las soluciones estandarizadas en su organización.
  • Diseñar, implementar y poner a disposición de los RT, las herramientas necesarias que permitan personalizar, complementar y/o adaptar las soluciones estandarizadas a sus características, si fuera el caso.
  • Actualizar periódicamente las soluciones estandarizadas y las herramientas, para adecuarlas a la realidad normativa y operativa de los RT.

Ejemplos de implantación

Como ejemplo de esta buena práctica, se podrían realizar las siguientes labores de estandarización:

RAT:

  • Desde el Servicio centralizado se podría analizar los tratamientos que son comunes a cada tipología de RT, y elaborar y mantener un RAT que comparta los elementos comunes a cada una de estas tipologías (previa validación por los Órganos Consultivos y de Gobierno). Este RAT común se pondría directamente a disposición de los RT a través de la Herramienta de Cumplimiento, desde donde podrían añadir, eliminar o modificar los tratamientos, según sus necesidades o características propias.

Privacidad por defecto (PpD):

  • Desde el Servicio centralizado se podría evaluar las medidas de seguridad y privacidad que afectan al RT, derivadas de: normativa de protección de datos, legislación general de aplicación (ej: ENS), legislación específica del sector, normativas internas, etc. Con el listado completo de medidas de seguridad y privacidad aplicables, se podría elaborar un marco de control, consolidando y unificando aquellas medidas similares, y adaptando las que sea posible a la realidad de los RT. Al margen de las medidas que, por defecto, sean necesarias cumplir en todos los tratamientos, el marco de control podría contemplar la segmentación del resto de medidas en relación al riesgo de privacidad (por ejemplo, en tres niveles: Bajo, Medio y Alto).


AARR y EIPD:

  • Una vez que existe un inventario común de tratamientos, se podría realizar un análisis de necesidad de EIPD, basado en las características y operativas más comunes de los RT. En función de los resultados de ese análisis, se podría estandarizar la parte análisis de factores intrínsecos del AARR y EIPD, obteniendo como resultado los niveles de riesgo asociado a cada tratamiento, y por tanto el marco de control de medidas aplicable a cada nivel de riesgo. De esta forma, los RT tendrían conocimiento de qué medidas de seguridad y privacidad implantar en función del nivel de riesgo de los tratamientos, siempre y cuando las características de sus tratamientos se ajusten a los parámetros comunes. En caso de que no se ajustaran a dichos parámetros, el RT podría personalizarlos a través de la Herramienta de Cumplimiento, desde la que se le informaría de los nuevos niveles de riesgo y EIPD.

Privacidad desde el diseño (PdD):

  • Desde el Servicio centralizado se podrían evaluar los escenarios más comunes en los RT que activan el proceso de PdD (ej: Desarrollo de software, adquisición de productos, contratación de terceros, cambio de locales, etc.), de tal forma que se vinculen a cada escenario las plantillas de planes de acción, cláusulas, modelos, etc. que se deben tener en cuenta ante cada situación. Para los escenarios no tipificados, se podría indicar a nivel procedimental como actuar, con el soporte de los marcos de control ya desarrollados.

Guías, herramientas, enlaces, documentación


  • Guía del Reglamento General de Protección de Datos para Responsables de Tratamien- to (AEPD)

    Descargar archivo
  • Guía de privacidad desde el diseño (AEPD)

    Descargar archivo
  • Guía de protección de datos por defecto (AEPD)

    Descargar archivo
  • Guidelines 4/2019 on Article 25 Data Protection by Design and by Defaul (CEPD)

    Visitar web
  • Guía tecnologías y protección de datos en Administraciones Públicas (AEPD)

    Descargar archivo
  • Guía práctica de análisis de riesgos para el tratamiento de datos personales (AEPD)

    Descargar archivo
  • Herramienta Evalúa – Riesgo RGPD (AEPD)

    Visitar web
  • Modelo de informe de EIPD para las Administraciones Públicas y sector privado (AEPD)

    Visitar web
  • Listas de tipos de tratamientos de datos que requieren y que no requieren EIPD (AEPD)

    Visitar web
  • Recomendación 01/2019 sobre el proyecto de lista del Supervisor Europeo de Protección de Datos en relación con las operaciones de tratamiento supeditadas al requisito de una EIPD (CEPD)

    Descargar archivo
  • Gestiona EIPD (AEPD)

    Visitar web
  • ISO/IEC 29134:2017 – Guía de asesoramiento sobre el análisis de impacto a la privacidad

    Visitar web
  • ISO/IEC 31000:2018 - Gestión del Riesgo

    Visitar web
  • Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario (INCIBE)

    Descargar archivo
  • Modelo de Registro de Actividades del Tratamiento (APDCAT)

    Visitar web
  • Modelo de Registro de Actividades del Tratamiento (CNIL – Francia)

    Visitar web