¿Estás implementando ISO 9001 y no sabes si te aplica el Reglamento General Europeo sobre Protección de Datos (RGPD)?

Como sabrás la norma ISO 9001 se basa en procesos de trabajo y dado que en muchos de esos procesos recabaremos datos de personas, he creído interesante hacer una entrevista a un profesional experto en la materia. En esta ocasión me acompaña Victor Seisdedos de LegalDPO

En esta entrevista, Víctor te resolverá muchas de las dudas que posiblemente tengas acerca de la RGPD y cómo te podrá afectar a la norma ISO 9001.

Te dejo con la entrevista:

[Iván T.] Víctor cuéntanos, ¿a qué países aplica el RGPD?

[Víctor S.] El RGPD es de aplicación a toda empresa establecida dentro de la Unión Europea, así como a toda empresa que maneje datos de personas europeas con independencia de su ubicación física. Por lo tanto aplica a empresas ubicadas físicamente en la Unión Europea, así como a cualquier empresa que maneje datos de datos de personas físicas (particulares) europeas.

[Iván T.] ¿Qué implica que la norma tenga un rango europeo cuando antes era una ley orgánica española?

[Víctor S.]  El primer punto que hay tener presente es que un reglamento europeo es de aplicación directa a todos los estados miembros de la Unión Europea, es decir, que tenemos el mismo cuerpo legal tanto aquí en España como en Italia, Alemania, etc. Esto facilita la transferencia entre empresas ubicadas dentro de la Unión Europea ya que tendrían las mismas obligaciones en materia de protección de datos facilitando la libre circulación de los datos de carácter personal.

Esto es un punto esencial ya que anteriormente las normativas europeas partían de una Directiva, cuerpo legal que exige trasposición a cada país miembro de la Unión Europea. Ello ha conllevado a que se realizara de forma  desigual entre los distintos países, cuestión que se ha venido a solucionar con el RGPD.

No obstante, también es importante destacar que el pasado diciembre de 2018 ha entrado en vigor la Ley Orgánica 3/2018 de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales. Ello supone un desarrollo del RGPD a nivel interno, pero siempre teniendo en cuenta que la normativa de aplicación es el RGPD.

[Iván T.] ¿Qué cambios tendré que hacer en mi forma de trabajar para adaptarme al RGPD?

[Víctor S.] Dependerá de la actividad de cada empresa. Pero lo fundamental es la realización de un análisis de riesgos a efectos de identificar qué datos se están manejando internamente para poder realizar las políticas necesarias.

Es importante destacar que el RGPD exige tener una base de legitimación para cualquier tratamiento (artículo 6 RGPD), de ahí que en función de las finalidades y de los tratamientos realizados haya de ser necesaria una base para tratar los datos: bien sea el consentimiento, bien la ejecución de un contrato, bien una obligación legal, entre otras.

Asimismo, otro punto esencial es la adecuación de todos los formularios de recogida de datos, siendo imprescindible cumplir con el principio de información. Será obligatorio informar al interesado de la recogida de sus datos de carácter personal, para qué se van a tratar sus datos y cómo ejercitar los derechos en materia de protección de datos (que con el RGPD se han ampliado).

[Iván T.] ¿Qué cambios tendré que hacer en mi forma de trabajar para adaptarme al RGPD?

[Víctor S.] Dependerá de la actividad de cada empresa. Pero lo fundamental es la realización de un análisis de riesgos a efectos de identificar qué datos se están manejando internamente para poder realizar las políticas necesarias.

Es importante destacar que el RGPD exige tener una base de legitimación para cualquier tratamiento (artículo 6 RGPD), de ahí que en función de las finalidades y de los tratamientos realizados haya de ser necesaria una base para tratar los datos: bien sea el consentimiento, bien la ejecución de un contrato, bien una obligación legal, entre otras.

Asimismo, otro punto esencial es la adecuación de todos los formularios de recogida de datos, siendo imprescindible cumplir con el principio de información. Será obligatorio informar al interesado de la recogida de sus datos de carácter personal, para qué se van a tratar sus datos y cómo ejercitar los derechos en materia de protección de datos (que con el RGPD se han ampliado).

Finalmente hay que señalar que, siguiendo la cultura anglosajona, se ha de cumplir con el principio de accountability o responsabilidad proactiva, de tal forma que la empresa tiene que garantizar por defecto y desde el diseño la adecuada protección de los datos de carácter personal, aplicando para ello medidas jurídicas, técnicas y organizativas suficientes en función del riesgo identificado en su correspondiente análisis o auditoría.

[Iván T.] ¿Cuánto tiempo me va a costar adaptarme a ese cambio y cumplir con el nuevo reglamento?

[Víctor S.] Es muy complicado hablar de tiempo de forma genérica ya que cada empresa tiene una forma de trabajo particular. Todo dependerá del volumen de la entidad, las finalidades sobre las que se manejan dichos datos, la disponibilidad de los departamentos, etc. Son muchas variables a tener en cuenta…

No obstante sí es importante tener presente que la adecuación de protección de datos debe ser algo continúo en el tiempo, ya que el RGPD exige la revisión periódica de las medidas técnicas, jurídicas y organizativas implantadas en la entidad.

[Iván T.] ¿Cuánto dinero me va a costar este cambio?

[Víctor S.] Al igual que la pregunta anterior, también es muy complicado decir una cantidad. Actualmente dependerá de la actividad y/o volumen de la empresa, procesos y políticas que haya que implementar, departamentos que componen las mismas, empresas externas con acceso a datos, etc.

[Iván T.] ¿Existe un documento de seguridad como existía antes con la ley 15/1999?

[Víctor S.] La terminología de “documento de seguridad” ha desaparecido. Lo que sí es necesario tener es una política de cumplimiento en materia de protección de datos donde se establezcan todos los procedimientos de respuesta ante brechas de seguridad, documentación para empleados, manual de seguridad técnica, en su caso el Registro de Actividades del Tratamiento, procedimiento ante ejercicio y contestación de derechos de los interesados, etc.

[Iván T.] ¿Tengo que comunicar algo a la Agencia Española de Protección de Datos?

[Víctor S.] La obligación de notificación de los ficheros que sucedía con la anterior LOPD ha desaparecido, y la política de cumplimiento de protección de datos (inclusive el registro de actividades) es algo que la entidad debe tener a efectos internos.

Sin embargo, sí que hay que tener presente dos puntos que pudieran ser notificados a la AEPD: las brechas de seguridad y la designación del Delegado de Protección de Datos (DPO). En primer lugar, respecto a las brechas de seguridad, si sufrimos una brecha de seguridad es obligatorio en el plazo de setenta y dos horas notificárselo a la propia AEPD. En segundo lugar, si la empresa tiene la obligación de designar un Delegado de Protección de Datos también tendrá la obligación de notificárselo a la autoridad de control.

[Iván T.] ¿Qué documentos debo enseñar el día de la auditoría de certificación/evaluación ISO 9001 para demostrar que mi organización se ha adaptado al nuevo RGPD?

[Víctor S.] Habitualmente es necesario mostrar la política de cumplimiento en materia de protección de datos indicada anteriormente, en particular, el registro de actividades del tratamiento, el manual de seguridad técnica así como los protocolos y procedimientos que la entidad haya implantado, en base al principio de responsabilidad proactiva indicada anteriormente. No hay que olvidar que la correcta implantación de la protección de datos es un servicio que debe facilitarse a los interesados.

En un futuro se espera que salga al mercado una certificación en materia de protección de datos para dar mayor seguridad y transparencia a este aspecto.