Decálogo para la contratación de proyectos de adecuación al RGPD


 

Comunicado APEP ante la preocupación por la oferta de consultoría en materia del Reglamento General de Protección de Datos (RGPD)

Ante la reiterada preocupación del sector profesional de la privacidad sobre la existencia de prácticas inadecuadas de consultoría y a raíz de las declaraciones realizadas por la Directora de la Agencia Española de Protección de Datos Mar España en la entrevista al Diario Cinco Días 1en el que afirmaba que hay empresas de consultoría que están engañando a las empresas aprovechando la entrada en vigor del Reglamento General de Protección de Datos (RGPD), desde la Asociación Profesional Española de Privacidad queremos manifestar nuestra adhesión a dicha preocupación como profesionales en el ejercicio de dicha actividad.

Por ese motivo, hemos elaborado un decálogo de recomendaciones básicas que permitan a las organizaciones privadas y públicas identificar cuando se les ofrece un asesoramiento adecuado. Por ese motivo, al contratar un proyecto de consultoría para adecuarse al RGDP debe tenerse en cuenta que:

I. Adaptarse para cumplir la normativa requiere la implicación del cliente además del trabajo del consultor. Tanto la adecuación al RGPD como mantener este cumplimiento legal en el tiempo requiere que el cliente esté concienciado; incluso es necesario que determinadas personas de la organización intervengan activamente en el proyecto. Si en el proyecto sólo trabaja y se compromete la consultora, si le ofrecen un documento para que lo firme sin haber estudiado su empresa es muy posible que NO ESTEMOS ANTE UN BUEN PROYECTO.

II. El cumplimiento no es algo puntual, la normativa exige ahora garantizar la debida diligencia y demostrar la responsabilidad activa por la protección de los datos personales. Por tanto, requiere labores para mantener un adecuado nivel de cumplimiento en el tiempo. Si todo el proyecto se ciñe a la entrega de una documentación tras rellenar unos cuestionarios, y no se definen acciones que han de tener su continuidad en el tiempo, definitivamente NO ESTAMOS ANTE UN BUEN PROYECTO.

III. La aplicación del RGPD nunca es teórica, no existen recetas de “copiar pegar”, no basta con marcar cruces en un cuestionario, debe adaptarse a la realidad específica de la organización. Con independencia del procedimiento utilizado, su asesor debe conocer en profundidad su empresa u organización visitándola físicamente si procede, y lo habitual es que así sea si se quiere diseñar medidas de seguridad en relación con el entorno físico. Si Vd. no percibe ese interés en indagar sobre el funcionamiento real de la organización en todos los ámbitos afectados por el alcance del trabajo solicitado (físico, informático, de gestión, etc.) NO ESTAMOS ANTE UN BUEN PROYECTO.

IV. Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. Las formas de llevar a cabo la formación pueden ser diversas, pero deben permitir contestar afirmativamente a las siguientes cuestiones:
– ¿Incluye medidas para que los usuarios tomen conciencia de la importancia del derecho fundamental a la protección de datos personales?
– ¿Precisa las obligaciones impuestas por la normativa y cómo cumplirlas?
– ¿Transmite las consecuencias de su incumplimiento?

Si la respuesta es negativa, NO ESTAMOS ANTE UN BUEN PROYECTO.

V. La adaptación puede suponer cambios. Si tras el análisis de su organización no se han identificado las buenas prácticas y no se han propuesto correcciones a las que pudieran ser inadecuadas NO ESTAMOS ANTE UN BUEN PROYECTO.

VI. El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. No podemos conformarnos con un registro de actividades de tratamiento “para archivar” o un análisis de riesgos estándar que proporciona un conjunto de medidas de seguridad “pendientes de implementación” como meras recomendaciones en el mejor de los casos. La plena adaptación no concluye hasta que las medidas se hayan implementado y verificado su eficacia. En caso contrario, NO ESTAMOS ANTE UN BUEN PROYECTO.

VII. Debe exigirse al consultor formación específica especializada. La recogida de información debe realizarla una persona con formación cualificada que le permita adquirir la capacitación profesional que la aplicación de la normativa exige. Se requieren conocimientos tanto en el ámbito jurídico como tecnológico y organizativo. El consultor debe poder acreditar su formación y experiencia y una forma de hacerlo es a través de una certificación profesional, como puede ser la certificación ACP de APEP que reconoce formación universitaria y propia. Cuando nuestro interlocutor en la consultora no reúna estos requisitos, NO ESTAMOS ANTE UN BUEN PROYECTO.

VIII. Si la empresa de consultoría se compromete a ofrecerle un certificado de cumplimiento desconfíe. El RGDP regula la certificación de cumplimiento en el Artículo 42 y garantiza unos requisitos formales para los Organismos de Certificación según el Artículo 43 que aseguren la independencia de los mismos. En España todavía no se han desarrollado los marcos de certificación para entidades, pero será una labor desarrollada por la AEPD junto con ENAC. Los certificados emitidos por empresas que a su vez ejercen labores de consultoría no garantiza los requisitos de independencia necesarios. Este certificado no lo protegerá ante malas prácticas, denuncias, inspecciones ni las sanciones que se puedan derivar. Si un proyecto le ofrece esta “garantía”, NO ESTAMOS ANTE UN BUEN PROYECTO.

IX. Aunque le aseguren cubrir los daños derivados del asesoramiento o del incumplimiento del RGPD Vd. nunca estará del todo a salvo. Aunque se contrate la cobertura de un seguro, Vd. siempre se enfrenta al riesgo que para la reputación de su organización comporta la declaración de una infracción y su sanción y publicación en la web de la AEPD. La confianza de sus clientes no la garantiza ninguna aseguradora, exige un esfuerzo cotidiano. Si su consultora no le ha advertido de la necesidad de adoptar medidas de seguimiento y control, si no le ha indicado la importancia de verificar su seguridad cíclicamente y corregir cualquier defecto o incidencia que advierta, si le garantizan que no pasará nada que “el seguro lo cubre todo” NO ESTAMOS ANTE UN BUEN PROYECTO.

X. Ofrecer un servicio de consultoría tiene costes. En ocasiones, nos ofrecen un proyecto de adaptación al RGPD con anuncios como “esto no nos va a costar nada, o casi nada, ya que aprovecharemos una subvención de otra cosa para pagarlo”. El asesoramiento jurídico y técnico no puede venderse a 2X1. Si Vd. es empresario, si administra una organización sabe perfectamente que ofrecer dos servicios por uno, y generalmente a precios por debajo de los del mercado es un negocio ruinoso. Cuando una empresa nos ofrezca un servicio de esta naturaleza es muy probable que nos esté animando a cometer un fraude, Si nos dicen “esto es gratis”, o “se lo regalo con un proyecto de formación subvencionada” NO ESTAMOS ANTE UN BUEN PROYECTO.

Para facilitar la difusión de este decálogo, APEP ha elaborado una infografía que pretende ser vehículo de comunicación de estos principios y una referencia para aquellas organizaciones y empresarios que tengan dudas a la hora de valorar una oferta de adecuación ante el RGPD. Este gráfico resume lo expresado en este texto y pretende ser una declaración de principios de los profesionales que pertenecen a nuestra Asociación.

Por último, comentar, que, de igual manera, está surgiendo una oferta formativa al amparo del RGPD que no en todos los casos llegará a superar el proceso de certificación establecido por la AEPD y ENAC. Dada la temporalidad de la situación, aconsejamos que se obre con cautela y se eviten aquellas ofertas formativas que garantizan la obtención de la certificación de la figura de Delegado de Protección de Datos mediante cursos rápidos o intensivos de poco esfuerzo.

La Asociación Profesional Española de Privacidad lleva dedicando años a la capacitación de profesionales y somos conscientes del esfuerzo que supone el logro de las certificaciones. En nuestro caso, apostamos por contenidos especializados y de alta intensidad formativa concentrados en los temas que consideramos más relevantes y que son más demandados por nuestros asociados y empresas colaboradoras. Nuestro objetivo es que cualquier alumno que pase por nuestros cursos de formación domine la materia para la cual se matricula y, por tanto, no vamos a realizar ofertas formativas que busquen atajos o la obtención de certificaciones que no vengan acompañadas de la adquisición de conocimientos que serán fundamentales en el ejercicio de la labor del Delegado de Protección de Datos y en general, en el cumplimiento del RGPD.

+