10 Lecciones aprendidas (2) Las 10 preguntas de Julia Cortés Delgado y el decálogo de Francisco José Sampalo Lainz

En la primera versión de 10 Lecciones Aprendidas compartía con el lector una miscelánea de ideas aportadas de modo brillante por mis estudiantes. No obstante, debo rendir homenaje a dos de ellos, con su nombre y apellidos, y tras los oportunos consentimientos.

La primera, julia, tuvo la inteligencia estratégica de convertir cada lección en una pregunta, para la que obviamente ofrecía respuesta. Pero no era un planteamiento plano o general, sino operativo y orientado a la organización. Son preguntas útiles que cada uno debería hacerse. Y resolver en su propia casa. No está obviamente todo lo que uno debería preguntarse. Sin embargo, cada pregunta tiene su enjundia, plantea un elemento nuclear que conviene tener en cuenta. Es uno de esos casos, en los que quien transmite conocimiento ve compensado su esfuerzo con creces.

  1. ¿Existe una Política de Protección de Datos en la Universidad que contempla los requisitos del RGPD?

  2. ¿Dispone la Universidad de un Plan Estratégico para la Protección de Datos en la Organización?

  3. ¿Se registran, documentan y se hace seguimiento de los tratamientos?

  4. ¿Se protegen los datos desde el diseño y por defecto?

  5. ¿Se realiza un análisis de riesgos en los tratamientos de datos personales sujetos al RGPD?

  6. ¿Se respetan los derechos del ciudadano?

  7. ¿Se cumplen las obligaciones del responsable del tratamiento y se toman medidas cuando existen encargados de tratamiento?

  8. ¿Se dispone de procesos para verificar, evaluar y valorar de forma regular la eficacia de las medidas técnicas y organizativas desplegadas para garantizar un nivel de seguridad adecuado al riesgo?

  9. ¿Se dispone de procesos para la notificación y gestión de las violaciones de seguridad?

  10. ¿Se cumplen los requerimientos de seguridad en las transferencias internacionales?

El decálogo de Francisco, demuestra que el enfoque positivo-proactivo, no sólo es posible, sino el único camino. Es fundamental interiorizar valores esenciales y nucleares, y es posible hacerlo con una sonrisa. Cada mandamiento de Francisco encierra un modo de hacer las cosas, y una inteligencia estratégica nada desdeñable.

  1. Sólo hay un Reglamento verdadero: el RGPD….

Surge con la doble finalidad de “unificar” la legislación en PD de los países UE y de adaptarla a los nuevos usos en Internet y análisis de datos.

  1. … y el DPD es su Profeta.

El Delegado de Protección de Datos es la pieza clave dentro de la estructura organizativa para asegurar un adecuado tratamiento de los datos personales en todo su ciclo de vida. Sus tareas fundamentales son: asesoramiento, supervisión y cooperación con la Autoridad de control. Debe reportar al máximo nivel y se debe garantizar su independencia.

  1. Serás responsable de tus actos en cuanto a la protección de Datos Personales.

Basado en la responsabilidad proactiva (“Accountability”) y no en el simple cumplimiento de determinados formalismos establecidos a priori.

  1. Diseñarás tus servicios teniendo en cuenta la privacidad de tus usuarios.

Los servicios/tratamientos se deben diseñar teniendo en cuenta la privacidad de los datos de los clientes/usuarios.

  1. La privacidad te hará más fuerte.

La privacidad desde el diseño no debe verse como un obstáculo a la agilidad, sino como una oportunidad para la mejora de la calidad y revisión de los procesos.

  1. Registrarás tus tratamientos, analizarás los riesgos y el impacto en la Privacidad.

La responsabilidad proactiva se basa en una serie de acciones o herramientas:

  1. El registro de los tratamientos, que debe ser una herramienta estratégica para la gestión desde la Protección de datos desde el diseño.

  2. El análisis de riesgos, tanto desde el punto de vista de la ciberseguridad como de los riesgos hacia los derechos y libertades de los usuarios.

  3. El análisis de impacto para tratamientos que así lo requieran (datos especialmente sensibles, obtención de perfiles, etc.).

  4. Aceptarás y tratarás los riesgos.

Los riesgos se deben evaluar y tratar, asumiendo de forma debidamente justificada riesgos residuales.

  1. Serás fiel a un código tipo sectorial.

Una herramienta que puede facilitar mucho el proceso de adecuación es la adhesión de códigos tipo de conducta (sectoriales).

  1. No ocultarás los incidentes.

Obligación de notificación a la Autoridad de control en caso de incidente grave que entrañe riesgo sobre los derechos y libertades de los interesados. En caso de gravedad también habría que notificarles a los propios interesados.

  1. Portabilizarás los datos.

Se introduce un nuevo derecho, aparte de los ARCO: derecho a la Portabilidad de datos.

Si el lector o lectora ha disfrutado tanto como el cronista, no lo dude, difunda este trabajo. Y si es docente recuerde, tenemos el ineludible deber de poner en valor a nuestros estudiantes, no hay orgullo mayor, no hay esfuerzo menos valioso.