Fomentando una cultura de privacidad

Consultores protección de datos
Contacto:  91 089 07 20 - 91 896 07 03
Vaya al Contenido

Fomentando una cultura de privacidad

Reglamento General de Protección de Datos
Publicado de AmyPc en RGPD · 5 Noviembre 2018
Tags: culturaprivacidad
FOMENTANDO UNA CULTURA DE PRIVACIDAD

El proceso de adaptación de cualquier entidad al cumplimiento de la normativa tiene que servirle para tener un conocimiento real de todos los procesos que realiza que implican el tratamiento de datos personales y poder controlarlos.

Cultura de privacidadEn muchos casos al realizar el proceso de adaptación, demostramos a las entidades que tratan los datos de forma incorrecta, que no tienen consentimiento para hacerlo, que poseen más información de la que deberían, que archivan información innecesaria y, lo peor de todo, que no tienen control alguno sobre los datos ni sobre quién se los proporciona o cómo de legal es la forma en la que los han obtenido.

A menudo nos encontramos con clientes que lo único que pretenden es cubrir el expediente y pasar el “trámite” a la mayor brevedad posible, lo cual hace que el proyecto elaborado por nosotros en el proceso de adaptación para ayudarles a que cumplan la normativa  a partir de ese momento, sirva de poco o, como ha ocurrido en algún caso,  suponga una pérdida total de tiempo y de recursos por ambas partes.

Advertimos, desde el primer momento, que adaptarse al cumplimiento de las normativas de protección de datos requiere de la implicación de la entidad y que sean sus representantes quienes promuevan la privacidad entre quienes la componen.

Adaptarse, cumplir y demostrar que se cumple (principio de “accountability”: responsabilidad activa y demostrable respecto a los tratamientos de los datos que se realicen), no es un mero trámite y tiene que tener una continuidad en el tiempo y actualizarse, dado que van a existir cambios internos (nuevos tratamientos, nuevo software o hardware, cambios en el personal, etc) y cambios externos (aprobación de nuevas normativas, modificación de las existentes, cambios de criterio relacionados con algunos tratamientos).

Este no es un proceso que se hace una vez en la vida y ya. No es algo que se pueda demostrar con un documento.

Con la antigua normativa (LOPD), todo estaba orientado al cumplimiento siguiendo las obligaciones de su Reglamento de Desarrollo (obligación legal para evitar sanciones). Las nuevas normas exigen de la entidad una concienciación de privacidad, donde lo más importante es la protección de datos y más si tenemos en cuenta que es nuestro mayor activo.

Además, en casi la totalidad de los casos, no realizamos adaptaciones donde podamos aplicar el principio “desde el diseño y por defecto” en los tratamientos que la entidad realiza puesto que la entidad no es de nueva creación y ya lleva tiempo tratando los datos, lo que obliga a reconducir los procesos desde que se obtienen los mismos hasta que se procesan y utilizan y, en algunos casos, a la entidad le cuesta cambiar sus costumbres o le supone gastos extras, lo que de nuevo, necesita de la implicación de la entidad.

La cultura de la privacidad y el RGPDFomentar una cultura de privacidad en la entidad, y aplicarla día a día, es fundamental para cumplir con todas las obligaciones que conlleva y para demostrar a sus clientes que, de verdad, están preocupados por la privacidad de sus datos y que esta preocupación no es sólo un texto colocado en un documento o en la página web.

La cultura de la privacidad en la entidad debe hacerse visible desde el primer momento tanto para las personas que la componen (directivos, empleados y otros terceros, tengan o no acceso a datos), como para las personas que visiten sus instalaciones (clientes, proveedores, representantes, instaladores, repartidores, etc.).

Desde la primera persona que les recibe en la recepción, hasta quien atiende el teléfono o quienes tratan personalmente con las visitas, tienen que ser informados y formados para conocer las obligaciones que tienen y deben poder transmitir a las visitas o a la persona al otro lado del teléfono, el porqué de recabar sus datos personales o el porqué de solicitar su DNI para identificarle.

La entidad deberá informar en todo momento a los visitantes y usuarios de que tratará sus datos personales y que lo hará de forma rigurosa y respetando los principios y obligaciones de las normativas vigentes.

Debe informar sobre la forma de revocación del consentimiento, la finalidad para la que se recogen los datos y con qué legitimación, a quién se comunicarán los datos, por cuánto tiempo se archivarán, qué derechos tienen los interesados y la forma de ejercerlos, y todo ello debe mostrarlo por medio de carteles informativos en sus instalaciones (del tratamiento de datos, de la utilización de cámaras, etc), en los textos de sus documentos comerciales o en los avisos de su página web.

Cuando exista atención al público, se debe mantener la privacidad de cada persona que es atendida: separación física amplia entre puestos de trabajo o por medio de mamparas, señalización para mantener una distancia mínima en el mostrador, despachos independientes, etc), colocación de los monitores de forma que los usuarios no puedan visualizar los datos y siendo constantes en la política de “mesas vacías” para evitar que las personas no autorizadas puedan acceder a datos personales.

Toda esta información se tiene que implantar a través de la “política de seguridad” de la entidad y que cada persona debe recibirla y asumirla.

La entidad también deberá obtener el compromiso firme de que los terceros que le presten servicios con acceso a datos, cumplen la normativa y están comprometidos con la cultura de la privacidad por medio de contratos.

Para que todo esto tenga sentido, lo más importante es la concienciación: si cada uno de nosotros nos ponemos en “la piel” de la persona de la que estamos tratando sus datos, si lo vemos desde su punto de vista, estaremos dando sentido a la protección de datos. Esto es muy sencillo: a nadie le gusta que traten sus datos personales sin haberlo consentido o sin que se sepa quien los ha proporcionado.

“No hagas con los datos de otros lo que no quieres que se haga con los tuyos”

Si la cultura de la privacidad se implanta en la entidad, ésta podrá garantizar plenamente que está cumpliendo la norma.



C/ Floridablanca, 32
San Lorenzo de El Escorial
28200 Madrid
91 089 07 20
91 896 07 03
645 785 425
info@adaptaciongdpr.com
Regreso al contenido