- 31 gener, 2020
- Category: Protecció de Dades
Si la seva companyia realitza tractaments de dades de caràcter personal i encara no ha realitzat l’adaptació a el nou Reglament General de Protecció de Dades que va entrar en vigor el passat maig de 2018, així com a la nova Llei de Protecció de Dades (LOPDPGDD) de 5 desembre 2018, sàpiga que està exposada a un risc que pot ser molt costós, tant en un àmbit econòmic com de reputació. Si heu decidit fer-ho i busca un servei professional que l’assessori i tuteli en la implementació d’aquestes noves normatives, permeti’ns oferir-li uns consells sobre males pràctiques que estem observant que es produeixen, que li seran útils en la seva elecció d’un servei d’adaptació adequat.
En primer lloc, voldríem donar-li a conèixer que hi ha serveis en el mercat oferint l’adaptació a la normativa de protecció de dades posant en valor el fet que a la seva finalització fan lliurament d’un certificat, que ells mateix expedeixen, i que, suposadament, acredita el compliment de la normativa de protecció de dades. Aquests certificats expedits pels que li han fet l’adaptació no tenen cap tipus de validesa ni utilitat. Si desitja una certificació per demostrar el compliment de la normativa de protecció de dades en la seva organització, ha d’iniciar un procés de certificació d’acord amb el que estableix l’art. 42 de l’RGPD, el qual només pot ser realitzat per un organisme de certificació independent acreditat d’acord a l’art. 43 de l’RGPD. Aquest certificat s’expedeix per un període màxim de tres anys, després dels quals podrà ser renovada en tant es verifiqui que se segueixen complint els criteris pertinents.
D’altra banda, hi ha serveis d’adaptació a la normativa de protecció de dades que inclouen en la seva proposta una assegurança que, indiquen, li cobrirà de possibles sancions que pugui imposar l’Agència Espanyola de Protecció de Dades (AEPD). Aquestes assegurances s’inclouen en el servei, amb caràcter general i gratuïtament, o bé a un preu irrisori. El nostre consell és que desconfiï de qui li ofereixi una assegurança d’aquest tipus, ja que la cobertura que Vostè obtindrà és, en la pràctica, inexistent. Un veritable segur que li cobreixi d’infraccions en matèria de protecció de dades es contracta i tarifa seu preu d’acord a una sèrie de manifestacions que una companyia d’assegurances obtindrà de Vostè per tal d’establir el nivell de risc d’acord dels tractaments de dades de caràcter personal que realitza la companyia i de les mesures organitzatives i tècniques de seguretat que se’ls aplica. Les manifestacions s’han de correspondre amb la realitat de l’administració de les obligacions de la companyia en matèria de protecció de dades, ja que qualsevol falsedat o incompliment d’aquestes manifestacions podria ser utilitzada per invalidar la pòlissa en cas de patir una sanció. Si vostè està interessat en la contractació d’una assegurança, el primer que ha de fer és preguntar-se si el nivell de risc dels seus tractaments ho fa realment necessari. I el segon, quan el nivell de risc ho fa necessari, és escollir una companyia d’assegurances de confiança que li ofereixi una relació cost / cobertura adequada.
Finalmente, debe saber que continúan ofreciéndose adaptaciones al Reglamento a ‘coste cero’, mediante el uso fraudulento de fondos de la Fundación Estatal para la Formación del Empleo (FUNDAE) antes denominada Fundación Tripartita. Ya sucedía con la anterior LOPD y parece que no se consigue erradicar estas malas prácticas e intrusismo con el nuevo RGPD. FUNDAE y la AGPD están alertas e investigando estas actuaciones de clara competencia desleal e ilegal. La Asociación Profesional Española de Profesionales de Privacidad (APEP) también denuncia estas prácticas en un intento de eliminar del mercado este intrusismo profesional. Los perjuicios de contratar una de estas compañías es claro para quien las contrata, por cuanto las inspecciones realizadas hacen que tenga que acabar asumiendo el coste de la totalidad del importe bonificado, mientras su empresa continua en riesgo por no estar correctamente adaptada al no haberse realizado por un verdadero profesional en estas normativas.
Jordi Díaz
Director de l´Àrea de Consultoria JDA/SFAI
LEAD Auditor ISO 27001 Certificado
Delegado de Protecció de Dades Titulat
Associat APEP