domingo, 29 de diciembre de 2013

Si yo fuera su Data Protection Officer (V)

Como probablemente Ustedes ya saben, el borrador de Reglamento Europeo de Protección de Datos acabará con la obligación de notificar ficheros a la Autoridad de Control. Esta notificación tiene, como finalidad principal, dar publicidad a los tratamientos efectuados. Además, permite a las Autoridades de Protección de Datos realizar análisis estadísticos y determinar áreas o sectores con los que trabajar. Por último, en algunos países, el registro de ficheros constituye una fuente de ingresos, ya que va acompañado del pago de una tasa.

En España, aunque la notificación de ficheros es gratuita, supone un quebradero de cabeza para muchas empresas, sobre todo en lo que actualizaciones se refiere. Por poner un par de ejemplos, piensen en los cambios de denominación social o domicilio, en el supuesto de la contratación de un nuevo encargado del tratamiento, o en la inclusión de nuevas categorías de datos en una aplicación. En todos estos casos, se debería realizar una modificación de los ficheros registrados.

Ahora bien, que una empresa comience a realizar un nuevo tratamiento no significa que se deba registrar siempre un nuevo fichero.

Recomiendo a las empresas con las que trabajo realizar un análisis de los tratamientos que efectúa la compañía antes de proceder al registro de nuevos ficheros o a la modificación de los existentes. Para empezar, no es necesario notificar a la AEPD tantos ficheros como aplicaciones o bases de datos existan en la compañía. Se pueden agrupar éstas por finalidad y dar de alta un único fichero.

Imaginen que se instala una nueva cámara de seguridad en un edificio de oficinas. Si la empresa ya ha registrado un fichero de videovigilancia, en mi opinión, no tiene que dar de alta uno más. Eso sí, deberá constar en la documentación interna de la compañía que el fichero registrado está formado por las grabaciones efectuadas por las distintas cámaras instaladas por la empresa (esto es lo que los aficionados al género llaman un inventario de ficheros). Adicionalmente, el documento de seguridad de la compañía incluirá las medidas de seguridad implantadas a cada una de ellas.

Para mí, trabajar en un adecuado inventario de ficheros es uno de los puntos clave de la protección de datos de cualquier organización. Si me permiten la cursilería, son los cimientos de la casa, lo que nos permiten seguir construyendo de forma ordenada e implementar políticas, redactar cláusulas, planificar de auditorías periódicas, etc. Si Ustedes no tienen un inventario de ficheros a estas alturas, y no saben exactamente qué tratamientos hace cada departamento de su empresa, han construido su casa por el tejado.

Volvamos al Reglamento Europeo. Su artículo 28 está dedicado a las obligaciones de documentación de responsables del fichero y encargados del tratamiento. Éstos habrán de conservar determinada información relativa a todos los tratamientos que realizan. Como mínimo la siguiente:

“a) el nombre y los datos de contacto del responsable del tratamiento, o de cualquier corresponsable o coencargado del tratamiento, y del representante, si lo hubiera;

b) el nombre y los datos de contacto del delegado de protección de datos, si lo hubiera;

c) los fines del tratamiento, en particular los intereses legítimos perseguidos por el responsable del tratamiento, cuando el tratamiento se base en el artículo 6, apartado 1, letra f);

d) una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen;

e) los destinatarios o las categorías de destinatarios de los datos personales, incluidos los responsables del tratamiento a quienes se comuniquen datos personales por el interés legítimo que persiguen;

f) en su caso, las transferencias de datos a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;

g) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;

h) la descripción de los mecanismos contemplados en el artículo 22, apartado 3.”

Entre las tareas impuestas al Data Protection Officer por el art. 37 del borrador de Reglamento Europeo se encuentra la de velar por la conservación de la documentación a la que me he referido más arriba. Como ven, aunque no se den de alta ficheros ante la autoridad de control, las compañías tienen que contar con un inventario de ficheros. Mantenerlo actualizado será una de las (principales) funciones del DPO.

Aquí va mi consejo: Si su compañía no ha hecho bien los deberes en cuanto al registro de ficheros, póngase en marcha y comience a inventariar bases de datos y archivos en papel. Aunque no se apruebe finalmente el Reglamento Europeo (y yo confío en que sí se aprobará), esta laborar redundará en una gestión más eficaz de la protección de datos en su compañía.

¿Por dónde deben empezar? La forma de enfocar esta tarea depende de muchos factores: del tipo de datos que trate la compañía, de la organización interna de la misma, de su tamaño,… Generalmente, se comienza por desarrollar un cuestionario con la información que interesa obtener de cada tratamiento (por ejemplo: de dónde se han obtenido los datos, quién es el responsable de la recogida, qué proveedores externos acceden, dónde se almacenan). Una vez hecho esto, fijen prioridades, áreas sensibles y un calendario de trabajo para recorrer todas las áreas de la compañía detectando los tratamientos de datos personales que se efectúa. Por mi experiencia, les diré que no suele ser una buena idea delegar en los usuarios la obligación de completar este tipo de cuestionarios. Supone cargarles con una función más, además de su trabajo diario, y muchos la harán con desgana y se la quitarán de encima con el menor esfuerzo. En la práctica, el inventario de ficheros se parece mucho a un trabajo de auditoría detalladísimo, y requiere una inversión considerable de tiempo por parte del personal responsable de la protección de datos.

Por supuesto, pueden optar por una solución mucho sencilla: Contratarme como Data Protection Officer (mi e-mail está en la columna de la derecha). Buenas tardes.

No hay comentarios: