No te vayas de vacaciones de Navidad sin haber hecho una provisión adecuada de fondos para cubrir el coste estimado del cumplimiento de la normativa de protección de datos en 2020 y el de posibles gastos adicionales impredecibles, por causa de nuevas actividades de tratamiento, posibles reclamaciones o, eventuales brechas de seguridad.

En enero es posible que sea demasiado tarde y que tu departamento de Finanzas te ponga pegas o se moleste por la falta de anticipación.

Todos los negocios, sin excepción, incluido el tuyo, se basan en la gestión de información y, entre otros, en el tratamiento de datos personales, ya sea a efectos puramente internos (e.g. datos de personal) o también externos (e.g. datos de clientes).

Para demostrar que tienes intención de cumplir con la normativa lo primero es definir qué recursos vas a destinar a esta labor.

Si no eres tú quién se ocupa de estos temas, pero te preocupa que tu empresa cumpla, reenvíale este post a la persona designada a estos efectos o a tu Delegado de Protección de Datos (DPD) y, ocúpate de que dispone del tiempo suficiente y de los recursos humanos, técnicos y económicos necesarios para asegurar el cumplimiento en materia de protección de datos.

Ya ha transcurrido más de un año y medio desde que entró en vigor el Reglamento General de Protección de Datos (RGPD) y casi un año desde que es aplicable la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDPGDD).

Como con todos los cambios normativos, el paso del tiempo tiene la ventaja de que muchos conceptos, sujetos a interpretación al principio, se han ido aclarando y, por tanto, es más fácil tomar decisiones de adecuación. Por el contrario, la novedad de la normativa deja de ser excusa para demorarse en su cumplimiento.

La Agencia Española de Protección de Datos (AEPD) ha puesto en marcha numerosas iniciativas de divulgación y formación, ha publicado informes y guías orientativas, ha resuelto consultas y facilitado herramientas de gestión para concienciar y dar tiempo a las empresas a implantar una cultura del dato basada, entre otros, en los principios de privacidad desde el diseño y de responsabilidad proactiva (ver como resumen la infografía con el resumen del balance de su plan estratégico).

Pero, también, la AEPD ha empezado a sancionar por incumplimiento de la nueva normativa (ver el resumen de sanciones de la AEPD que publica y mantiene actualizado eldiariolaley). 

¿Cómo calcular lo que te puede costar el cumplimiento en materia de protección de datos en 2020? 

Depende, ¿en qué nivel de cumplimiento te encuentras?

En función de cuál sea tu estado de cumplimiento deberás abordar más o menos labores de forma proactiva:

Si tuvieras que empezar desde cero, tendrías que informarte sobre tus obligaciones en materia de protección de datos y entender bien lo que implica llevar a cabo un proyecto de adecuación personalizado a tu actividad de negocio.

Después, para asegurar el cumplimiento con la normativa aplicable, tendrías que diseñar tu propio proyecto de adecuación, con asignación de recursos y tareas concretas, y tendrías que poner en marcha un plan de acción para su ejecución, con un calendario realista y asignando roles y responsabilidades internamente.

Si, además, quieres asegurar que el cumplimiento de la normativa se mantenga a futuro, lo recomendable es diseñar un plan de cumplimiento y supervisión, aplicando protocolos para asegurar la privacidad desde el diseño y por defecto, y la responsabilidad proactiva como, por ejemplo, la gestión de las correspondientes evidencias de cumplimiento.

Adicionalmente, en función de la actividad de negocio y las actividades de tratamiento que realices, es posible que debas llevar un registro de actividades de tratamiento o nombrar un DPD (ver supuestos de designación obligatoria).  

Por otro lado, deberás estar preparado para ejecutar reactivamente algunas tareas tales como, incorporar la protección de datos personales como un factor a tener en cuenta en nuevos proyectos de negocio que impliquen procesamiento de datos personales, resolver consultas o reclamaciones de sujetos cuyos datos procesas, adaptarte a nuevos requerimientos legales, en su caso, o hacer frente a brechas de seguridad.

La casuística y las particularidades de cada caso, por tipo de datos, de relaciones, de sector al que te dedicas, del flujo de datos, de sujetos de datos, de destinatarios, etc es enorme y, si de verdad tienes la intención es cumplir confía en un experto, con experiencia, que pueda darte un presupuesto adecuado a tu caso concreto.

No te dejes embaucar por cualquier oferta. El mercado se ha saturado de oportunistas y la propia AEPD ha alertado de la existencia de consultoras que prestan servicios a “coste cero” o que se limitan a “cortar y pegar” sin hacer un análisis pormenorizado de la situación de cada negocio (ver la nota de prensa de la AEPD al respecto). Con el fin de garantizar que los DPD estén debidamente cualificados la AEPD puso en marcha un Esquema para certificación de personas como DPD.

En mi caso, tengo conocimientos especializados. Superé el examen de DPD con AENOR en septiembre de 2018 y, otra vez, en noviembre de 2019, con la Asociación Española de la Calidad, por lo que puedo acreditar que estoy certificada como DPD según el Esquema de la AEPD. No obstante, lo más interesante para ti, probablemente, es que tengo experiencia práctica y cercana al negocio al haber gestionado durante 16 años los asuntos de protección de datos como abogado interno de una compañía de gran consumo para España y Portugal y, después, tuve la oportunidad de coordinar legalmente el proyecto de adecuación al RGPD en 26 países europeos.

Visita www.lawingit.com para conocerme mejor y si quieres reconsiderar tu partida presupuestaria para protección de datos del 2020, no dudes en contactarme en info@lawingit.com.