El manual ha sido elaborado con la colaboración de Unión Profesional para ponerlo al servicio de organismos e instituciones con el objetivo de servir de ayuda a la implantación y mejora de los diferentes servicios centralizados de protección de datos.
A lo largo de los últimos años, desde la entrada en vigor del RGPD, desde el Colegio de Registradores de España (CORPME) se ha confeccionado un servicio de protección de datos que ha enfrentado y superado una serie de problemáticas inherentes a la propia diversidad y criticidad de los tratamientos realizados en los Registros de la Propiedad, Mercantiles y de Bienes Muebles, tanto en su naturaleza como en su gestión.
Gracias a los niveles de madurez alcanzados a través de este servicio (rebautizado como Servicio PRISMA en 2020), hemos lanzado una serie de iniciativas con el objetivo principal de realizar una transferencia del conocimiento adquirido que pueda servir de ayuda a la implantación y mejora de un modelo de servicio centralizado, robusto y eficiente de protección de datos. En base a la experiencia del Colegio de Registradores, entendimos que este modelo era extrapolable a numerosos colectivos, y por ello, se propuso a Unión Profesional como el mejor colaborador posible para difundir su contenido.
Las iniciativas pivotan sobre una guía de buenas prácticas y una herramienta de ayuda, que ponemos a disposición de todos aquellos organismos que estén ofreciendo (o se planteen ofrecer) un servicio de protección de datos a otros organismos o empresas.
El modelo centralizado de cumplimiento que proponemos establece las pautas necesarias para implantar un modelo que permita optimizar esfuerzos, mejorar los sistemas y reducir drásticamente los costes de implantación y gestión de privacidad a todos los responsables de tratamiento que consuman los servicios de privacidad.
El modelo centralizado de cumplimiento que proponemos establece las pautas necesarias para implantar un modelo que permita optimizar esfuerzos, mejorar los sistemas y reducir drásticamente los costes de implantación y gestión de privacidad
Adicionalmente, la adopción de este modelo proporciona garantías adicionales a la ciudadanía en materia de protección de datos, ya que mejora la protección de sus datos y, a la vez, garantiza una gestión y respuesta homogénea con independencia del organismo o ubicación a la que se dirija.
En conclusión, se pretende dotar a los profesionales a los que va dirigida la iniciativa, de un conjunto de herramientas que les permitan abordar la organización del cumplimiento del RGPD de manera centralizada, debido a los beneficios que ello supone tanto para los distintos responsables del tratamiento como para el ciudadano y la autoridad de control. Los beneficios que ha detectado el Colegio de Registradores en base a la experiencia en la prestación de su servicio PRISMA de privacidad se pueden resumir en los siguientes:
GUÍA PRÁCTICA PARA EL CUMPLIMIENTO DEL RGPD EN ORGANISMOS DESCENTRALIZADOS
Es importante resaltar que esta no es una guía que permita medir o mejorar el cumplimiento en materia de protección de datos de una organización. Al contrario, lo que persigue esta guía es establecer las pautas necesarias para implantar un modelo organizativo de cumplimiento centralizado óptimo, que pueda ser aprovechado por otros organismos descentralizados.
Con ella, tratamos de cubrir un hueco que hasta ahora creemos no cubierto para ayudar a cualquier organismo centralizado. No obstante, este modelo alcanza las máximas cotas de rendimiento cuando los responsables de tratamiento objetivo cumplen las siguientes condiciones:
- Formar parte de un colectivo con tratamientos de datos personales similares y bajo la misma legislación de aplicación.
- Estar bajo el amparo de un organismo centralizado con medios para dotar de un marco de cumplimiento homogéneo.
- Ser proclive a la normalización de los procesos de cumplimiento normativo.
- Contar con un marco previo de cultura de compliance para abordar de forma integral la gestión de los riesgos asociados a su funcionamiento en otras áreas.
- Estar poco especializado en la función de protección de datos y sin elevados medios para poder contratar este servicio en el mercado (pequeñas o medianas organizaciones).
- Requerir disponer de un delegado de Protección de Datos, y que pueda ser prestado por una figura común al colectivo.
Este modelo de servicios es apto y muestra fortalezas incluso ante problemáticas complejas que se pueden dar en el colectivo al que se presta servicio, como por ejemplo:
- Tratamientos a gran escala y/o de categorías especiales.
- Dispersión geográfica de los responsables de tratamiento.
- Alta heterogeneidad en los sistemas de información que realizan los tratamientos.
- Diferentes niveles de madurez en el cumplimiento por parte de los responsables de tratamiento.
- Diferentes grados de autonomía en la gestión de los responsables de tratamiento, etc.
Por tanto, serían ejemplos válidos de organismos candidatos a prestar el servicio centralizado todos aquellos organismos públicos o privados con capacidad de centralizar servicios de centenares o miles de entidades independientes, descentralizadas y autónomas en su gestión, tales como colegios profesionales, federaciones, agrupaciones, asociaciones, etc.
La guía elaborada para el cumplimiento del RGPD en organismos descentralizados la conforman una serie de 19 fichas en las que se describen todos y cada uno de los elementos que componen el servicio centralizado, así como una serie de buenas prácticas de elementos mínimos a considerar a la hora de implantar cada elemento. Este documento, cubre el cumplimiento de la normativa de protección de datos estatal y europea, así como las directrices de la Agencia Española de Protección de Datos (AEPD).
Los elementos del modelo están organizados en tres grandes capas: gobierno, gestión y operación, interrelacionadas entre sí para dar servicio a los diferentes destinatarios del modelo: ciudadanos, autoridad de control y responsables del tratamiento.
Adicionalmente, cada elemento está acompañado de ejemplos de implantación práctica y enlaces, herramientas y documentación oficial relacionada con la temática, de forma que al receptor de la guía le sea mucho más sencillo aproximarse a la implantación de cada elemento y, finalmente, del modelo organizativo centralizado de cumplimiento en su conjunto.
Para mayor usabilidad, se ha elaborado una versión imprimible en pdf y también se ha puesto accesible una versión web, a través de la que se puede navegar fácilmente entre las buenas prácticas.
APLICACIÓN WEB DE AUTOEVALUACIÓN PARA SERVICIOS CENTRALIZADOS DE PRIVACIDAD
Como parte importante de la iniciativa, y con la voluntad de poder ayudar a todos aquellos que deseen iniciar (o mejorar) la implantación de un servicio centralizado de protección de datos, desde el CORPME se ha desarrollado una herramienta pública y gratuita que permite a cualquier organismo público o privado que desee, autoevaluar su servicio centralizado de protección de datos contra la guía de buenas prácticas, para obtener unos indicadores de madurez organizativa en relación a la gestión y mejora del servicio, y a la capacidad de su servicio para dar respuesta a ciudadanos, responsables de tratamiento y a la autoridad de control.
A través de esta aplicación, el usuario podrá obtener el grado de madurez en el que se encuentra su organización a la hora de acometer este modelo centralizado de cumplimiento. Para ello, se ofrece un cuestionario muy sencillo compuesto por una serie de preguntas y respuestas que mediante su cumplimentación permite obtener un plan de acción para la adopción de este modelo.
De esta manera, los usuarios podrán obtener de manera estructurada una priorización de acciones personalizada en base al grado de madurez de su organización y que le ayude, de este modo, a la toma de decisiones a la hora de decidir organizar o evolucionar su servicio de cumplimiento de protección de datos.
Fernando Moreta
El Colegio de Registradores ha sido reconocido por la Agencia Española de Protección de Datos con el premio Buenas prácticas para la centralización del cumplimiento del RGPD, por el trabajo realizado en esta materia. La Agencia reconoce de esta forma la Guía de buenas prácticas editada por la Institución Registral.