LOW-COST, LOW-COMPLIANCE

Home
Artículos
LOW-COST, LOW-COMPLIANCE

febrero 6, 2020
Artículos

La protección de datos es una materia muy compleja. Cada vez más.

Hace unos años, una vez hecha la adecuación inicial, el mantenimiento normal era relativamente asequible: nuevo fichero en la AEPD, nueva política de privacidad, nuevo contrato de encargo de tratamiento, implantar medidas legales y de seguridad, y registrarlo todo en el Documento de Seguridad.

Con el RGPD la cosa se complicó bastante:

Ya no se inscribe un fichero con un formulario preconcebido por la AEPD, sino que debe mantenerse un inventario propio con un nivel de detalle mucho mayor.
La elaboración de la política de privacidad requiere una reflexión previa sobre cuestiones como la legitimidad del tratamiento, el plazo de conservación de los datos, o cómo mostrar la información para que sea comprensible para cualquier usuario.
Los contratos de encargo de tratamiento se enquistan por debates estériles como si es necesario poner un plazo concreto de notificación de brechas al responsable.
Hay que analizar previamente los posibles riesgos para la privacidad y la seguridad de los datos, valorarlos, implantar medidas legales y de seguridad para garantizar la privacidad por defecto y desde el diseño, decidir si debe hacerse un PIA y, en su caso, ejecutarlo a la mayor brevedad posible mientras sientes el incremento de la frecuencia cardiaca de tu cliente por los posibles retrasos que ocasione el PIA (sobre todo si hay que llegar a la Consulta Previa a la AEPD).

Además, mientras que antes los proyectos se limitaban a abrir una nueva web con un par de formularios, ahora nos encontramos habitualmente con megaproyectos revolucionarios a base de big data, analítica publicitaria… y, si puede ser, reconocimiento facial de menores católicos con disforia de género afiliados a las juventudes de algún partido político.

Supervisando todo esto debe estar el DPO, cuya función no es ayudar a la empresa a torear riesgos legales, sino ayudar a la empresa a llevar a cabo sus proyectos sin vulnerar los derechos de los usuarios.

En definitiva, cada vez más, hace falta un conocimiento y una dedicación muy elevada para lograr un alto grado de cumplimiento.

Sí, es cierto que la presión regulatoria es cada vez mayor y que a veces no podemos hacer frente a un servicio de calidad. Pero cuando contratamos servicios low-cost, tenemos que ser conscientes de que nos están dando menos por menos. Menos coste, sí… pero con menos calidad, dedicación o capacidad.

Del mismo modo que la mayoría NO pondríamos nuestra salud en manos de un médico low-cost, hay que pensárselo muy bien antes de poner tu empresa y tus riesgos legales en manos de un asesor/consultor/auditor/DPO low-cost.

Quizá el daño no sea inmediato. Quizá tengas suerte y el daño nunca se materialice.

O quizá te acabes arrepintiendo. ¿Te sientes afortunado?

José Carlos Moratilla

Business Developer Manager