El mes pasado introdujimos la norma ISO/IEC 27701, que proclama las medidas necesarias para la implementación de un “Sistema de Gestión de Información de Privacidad (PIMS)” que proteja adecuadamente los datos personales tratados por la empresa certificada.

De especial interés es la “Guía adicional para Responsables de Tratamiento”, que recoge aquellos procedimientos necesarios para asegurar un tratamiento legítimo y acorde a la normativa, con una clara orientación al cumplimiento del RGPD.

Las obligaciones impuestas se dividen en 5 bloques, que cubren totalmente el ciclo de vida del tratamiento de los datos personales: condiciones para la recogida y tratamiento; obligaciones hacia los interesados; privacidad desde el diseño y por defecto; y transferencia e intercambio de datos.

Condiciones para la recogida y tratamiento

Se trata de establecer un sistema de recogida y tratamiento de los datos que asegure la licitud de los mismos. Para ello, se debe redactar un procedimiento:

  • Identificar aquellos datos que vayan a ser tratados,
  • Asignarles una base legitimadora,
  • La finalidad para la que será necesario su procesamiento.

Cuando se procede a recoger los datos, se debe comprobar que todas las condiciones documentadas son cumplidas, evitando así cualquier posible infracción. En algunos casos, será necesario obtener el consentimiento, por lo que también se deberá contar con un procedimiento que regule cuándo y cómo se debe obtener y registrar.

Aquellos casos en que el tratamiento de sus datos pueda conllevar algún riesgo para la privacidad, un correcto proceso de evaluación de impacto debe ser llevado a cabo. Asimismo, en los contratos con encargados o corresponsables de tratamiento se deberá garantizar que los datos que se vean afectados sean objeto de las mismas medidas de seguridad.

Por último, se deberá mantener un actualizado Registro de Actividades de Tratamiento.

Obligaciones hacia los interesados

Se deberá contar con un procedimiento en el que se plasmen las obligaciones que se tengan hacia los interesados, la información que se les debe facilitar y cómo y cuándo se hará.

A su vez, un mecanismo mediante el cual los interesados puedan ejercer sus derechos, que incluya la posibilidad de modificar o retirar el consentimiento; la posibilidad de retirar el consentimiento; la posibilidad de ejercer el acceso, la rectificación y/o la supresión de sus datos personales; y cómo se gestionarán las solicitudes presentadas.

También se deberán identificar y notificar sobre las comunicaciones a terceros y la toma de decisiones automatizadas.

Privacidad desde el diseño y por defecto

Desde el momento en que se plantee el tratamiento de datos personales, se deberá asegurar que los sistemas traten únicamente los datos necesarios para la finalidad determinada anteriormente durante su completo ciclo de vida. Esto implica que se deberá limitar tanto la recogida como el tratamiento de los datos, que deberán ser exactos y de calidad.

El plazo de conservación deberá ser documentado y, una vez finalizado, un adecuado procedimiento de anonimización y eliminación será necesario, así como de los archivos temporales que se hubieran podido generar.

Transferencias e intercambio de datos

Los datos recogidos deberán ser únicamente conocidos por el responsable de tratamiento. En algunas ocasiones su comunicación o transferencia serán necesarias, ya sean derivadas de sus actividades comerciales como de una obligación legal. Para estos casos, un adecuado procedimiento deberá ser documentado, donde se identifiquen las bases legitimadoras y los países u organizaciones a los que es probable la realización de una transferencia.

De igual manera, se deberá mantener un registro apropiado tanto de las transferencias como de las comunicaciones a terceros que se hayan realizado.

Desde Key Auditors, como auditores independientes certificados por ENAC, contamos diferentes servicios de auditoría. Entre los que se encuentra la verificación de las exigencias para la:

  • implantación,
  • mantenimiento
  • mejora continua

del Sistema de Gestión de Información de Privacidad (PIMS).

Martin Valle Cordero, Departamento de privacidad.

Agendar Llamada