El RGPD (Reglamento general de protección de datos) no se trata solo de implementar medidas tecnológicas y organizativas para proteger la información que almacena. También debe demostrar su cumplimiento, por lo que la política de protección de datos resulta esencial.
¿Qué es una política de protección de datos?
Una política de protección de datos es un documento interno que sirve como núcleo de las prácticas de cumplimiento del RGPD de una organización actuando a dos niveles:
- Explica los requisitos del RGPD a los empleados.
- Establece el compromiso de la organización con el cumplimiento.
La política de protección de datos no necesita proporcionar detalles específicos sobre cómo la organización cumplirá con los requisitos del Reglamento, ya que estos se cubrirán en los procedimientos de la organización. Tan solo necesita describir cómo se aborda el RGPD dentro de la organización.
Así, por ejemplo, en lo que respecta a la minimización del uso de datos, mientras que en los procedimientos se debe indicar exactamente cómo se asegurará la empresa de que se cumple este principio (por ejemplo, puede requerir que cualquier posible actividad de recopilación de datos vaya acompañada de un documento que explique por qué es necesario el procesamiento), en la política solo es preciso indicar que la organización abordará ese principio
¿Por qué el negocio necesita una política de protección de datos?
La política de protección de datos cumple tres objetivos:
- Proporciona la base a partir de la cual una organización puede lograr el cumplimiento efectivo del RGPD. El Reglamento, tal como está escrito, es demasiado complejo para ser utilizado como base para un proyecto de implementación. En cambio, la política de protección de datos facilita la división de los requisitos del RGPD en fragmentos manejables, aplicables a la organización.
- Hace que el RGPD sea comprensible para el personal. No hay que olvidar que la mayoría de las personas responsables del cumplimiento no son expertos en protección de datos y no se habrán preocupado de informarse acerca de los principios del Reglamento por su cuenta. Su comprensión de las reglas vigentes puede ser mínima o nula. Una política de protección de datos explica en términos simples cómo se aplica el RGPD a los empleados y cuáles son sus obligaciones.
- Demuestra que la organización está comprometida con el cumplimiento del Reglamento. El artículo 24 del RGPD especifica que las organizaciones necesitan aprobar una política para «demostrar que el procesamiento [de datos] se realiza de conformidad con este Reglamento». De hecho, poder demostrar el cumplimiento es esencial cuando se trata de investigaciones regulatorias. Si un cliente se queja de que la organización ha utilizado indebidamente sus datos, por ejemplo, se iniciará una investigación por parte de la autoridad supervisora. En ese proceso, la política de protección de datos será la primera evidencia que el regulador busque para ver si la organización se toma en serio el RGPD.
Qué debe incluir una política de protección de datos
Cada empresa puede incluir en su política de protección de datos tanta información como desee. En cualquier caso, al menos debería cubrir:
- El propósito de la política. Esto puede servir como introducción, explicando la relación de la política con el RGPD, la importancia del cumplimiento y por qué la política es necesaria para la empresa.
- Definición de términos clave. El RGPD está lleno de terminología de protección de datos que se deberá explicar. Esta sección debe incluir términos notoriamente difíciles como «controlador» y «procesador», aunque también interesa aclarar conceptos como «sujeto de datos», que podrían dar lugar a dudas.
- Alcance. Conviene confirmar que los requisitos del RGPD se aplican a los datos personales de los residentes de la UE y a cualquier persona de la organización que procese esa información.
- Principios. Interesa incluir una explicación acerca de los seis principios del RGPD para el procesamiento de datos, así como la responsabilidad a la que dan lugar. También debe señalar brevemente el compromiso de la empresa de cumplir con estos principios.
- Derechos del sujeto de datos. El RGPD otorga a las personas ocho derechos de sujeto de datos. Deben quedar definidos en la política, estableciendo que la empresa se asegurará de que se cumplan.
Por último, a la hora de completar la política de protección de datos de la empresa hay que recordar la importancia de proporcionar el nombre del DPO (oficial de protección de datos) designado, así como sus datos de contacto.
- La cercanía del distribuidor de software - 25 de enero de 2023
- La importancia de una buena gestión de inventarios en la empresa - 20 de enero de 2023
- Las causas del carrito abandonado en los e-commerce - 20 de enero de 2023