Cómo demostrar que tu empresa cumple con el RGPD

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Con el nuevo RGPD que entró en vigor el 25 de Mayo y la recién aprobada LOPD y GDD, es importante que toda empresa tenga la capacidad de demostrar que cumple con ambas normativas.

Vamos a explicar cómo garantizar que cumples con el RGPD, qué documentos debes entregar y a quién. 

¿A quién debo demostrar el cumplimiento del RGPD?

Se debe demostrar ante la Agencia Española de Protección de Datos. Además, si tenemos encargados de tratamiento debemos exigirles ciertas  garantías de cumplimiento.

¿Cómo acredito que cumplo con los requisitos?

El propio Reglamento determina que podrán utilizarse como elemento de demostración del cumplimiento la adhesión a Códigos de Conducta, siempre que se hayan aprobado conforme a los criterios del art. 40 del RGPD o mediante los mecanismos de certificación aprobados con arreglo al artículo 42.

Quieres hacer que la protección de datos se cumpla sin esfuerzo? Descargar Gratis: Paquete basico RGPD

Dado que estos medios no son obligatorios, la acreditación también se puede hacer mediante la documentación que se haya generado para determinar las medidas destinadas a cumplir con las obligaciones del Reglamento, así como las evidencias del correcto funcionamiento de las mismas.

¿Debo entregar TODA la documentación interna sobre el cumplimiento?

Ante una auditoría, no se debe entregar determinada documentación podría ser muy perjudicial.

Sin embargo, si pretendemos acreditar ante un tercero que en nuestra organización el tratamiento de datos se realiza conforme al Reglamento para que contrate nuestros servicios, hay que tener en cuenta que en esa documentación puede haber mucha información sensible sobre nuestra organización:

  • Sistemas Informáticos que utilizamos lo que podría comprometer la seguridad de los mismos.
  • Contactos de nuestros proveedores, podrá conocer todas las condiciones económicas que pueden ser confidenciales.

Con esto queremos decir que muchos documentos que demuestran el cumplimiento, también contienen información que no debemos compartir porque pueden ser datos de carácter personal, puede ser información confidencial o contenga información comercial que no queramos que pueda ser utilizada por los competidores.

¿Qué documentación se tiene que entregar para acreditar el cumplimiento?

Dentro del Reglamento encontramos cierta documentación que debe estar a disposición de la AEPD:

  • Registro de Actividades del Tratamiento.
  • Evaluaciones de Impacto sobre la Protección de Datos.
  • Contratos, medidas, controles, etc, se podrían utilizar, aunque restringiendo cierta información.

¿Y si un externo me audita o certifica?

Todas las auditorías y las certificaciones, siempre que se trate de una certificación NO oficial no valdrá como una presunción de cumplimiento. Aunque SI nos servirá para demostrar nuestra diligencia en el cumplimiento.

¿Valdría con una declaración responsable?

La declaración responsable es un documento, regulado en la Ley 39/2015, en el que el interesado manifiesta que cumple con unos requisitos normativos y que dispone de la documentación que acredita ese cumplimiento.

En el sector público la demostración del cumplimiento del RGPD se podrá realizar primero mediante una declaración responsable, aunque posteriormente se tendrá que acreditar que efectivamente se cumplen con los requisitos.

En el ámbito privado el documento tendrá el mismo valor que los certificados privados.

¿Y ante la Agencia Española de Protección de Datos?

Si la AEPD nos requiere documentación, se deberá entregar toda la documentación que nos soliciten y aquella que consideremos oportuna para demostrar que el tratamiento de datos se realiza conforme a las estipulaciones del Reglamento y de las normas que resulten de aplicación, como podría ser la LOPD, su Reglamento de Desarrollo, la nueva LOPD cuando se apruebe, la LSSI, etc.

Si necesitas ayuda para adaptar a tus clientes al nuevo RGPD, ¡Pridatect es la solución ágil que estás buscando!

Comparte este artículo

Comparte

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Artículo redactado por:

Pedro Simón

Doctor en Derecho con mención internacional, que cuenta con una amplia experiencia docente como profesor en diversas instituciones (UdG, UOC, UNIR, ICAB) y que ha investigado ampliamente sobre el derecho digital, es autor de publicaciones como El régimen constitucional del derecho al olvido digital y El reconocimiento del derecho al olvido digital en España y en la UE: Efectos tras la STJUE de 13 de mayo de 2014.

Artículos relacionados

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo.

Webinars gratuitos

Multas por RGPD

webinar gratuito Multas por RGPD Analizamos las multas de Glovo, Juasapp y Equifax 08/07/2020 16:00h Cualquier organización puede estar expuesta a ser sancionada por incumplir

REGÍSTRATE AHORA »