Los profesionales de la privacidad alertan de falsas consultorías del RGPD
La APEP publica un decálogo de consejos para evitar faudes
La Asociación Profesional Española de Privacidad (APEP) ha publicado un decálogo de recomendaciones básicas para que las empresas y las Administraciones puedan identificar las labores de asesoría y consultoría fraudulentas en materia de protección de datos. La proliferación de profesionales y compañías que venden un falso servicio de examen de adecuación al Reglamento europeo (RGPD), que será de plena aplicación este viernes 25 de mayo, es una de las grandes preocupaciones de los profesionales del sector, las empresas contratantes de las mismas y de la propia Agencia Española de Protección de Datos (AEPD).
Así, según la guía publicada por la APEP, al contratar un proyecto de consultoría para adecuarse al RGPD, las organizaciones deberán tener en cuenta:
1. Implicación del cliente
La adaptación a la nueva normativa requiere la implicación del cliente además del trabajo del consultor. Tanto la adecuación al RGPD como mantener este cumplimiento legal en el tiempo requiere que el cliente esté concienciado e, incluso, es necesario que determinadas personas de la organización intervengan activamente en el proyecto. En este sentido, si en el proyecto solo trabaja y se compromete la consultora, y si le ofrecen un documento para que lo firme sin haber estudiado su empresa es muy posible que no se trate de un buen servicio.
2. El cumplimiento no es puntual
El cumplimiento no es algo puntual. La normativa exige garantizar la debida diligencia y demostrar la responsabilidad activa por la protección de los datos personales. Por tanto, requiere labores para mantener un adecuado nivel de adecuación a la legislación en el tiempo. Si la consultoría se ciñe a la entrega de una documentación tras rellenar unos cuestionarios y no se definen acciones que han de tener su continuidad en el tiempo, el proyecto no es adecuado.
3. No vale con 'copiar-pegar'
La aplicación del RGPD no es teórica, no sirven recentas de copiar-pegar,ni basta con marcar cruces en un cuestionario; debe adaptarse a la realidad específica de la organización. Con independencia del procedimiento utilizado, su asesor debe conocer en profundidad su empresa u organización visitándola físicamente si procede (lo habitual, de hecho, es que así sea). Si no se percibe ese interés en indagar sobre el funcionamiento real de la organización, la asesoría no es correcta.
4. Formación
Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. Las formas de llevar a cabo la formación pueden ser diversas, pero deben permitir que los usuarios tomen conciencia del derecho a la protección de datos;informe de las nuevas obligaciones y cómo cumpliarlas; y transmita las consecuencias de su incumplimiento.
5. Cambios obligados
La adaptación supondrá, casi con toda seguridad, cambios. Si tras el análisis de su organización no se han identificado las buenas prácticas y no se han propuesto correcciones a las que pudieran ser inadecuadas, debe desconfiarse del proyecto.
6. No vale con un cumplimiento formal
El objetivo a perseguir ha de ser la adecuación plena al RGPD; por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. No vale un registro de actividades de tratamiento para archivar o un análisis de riesgos estándar que proporciona un conjunto de medidas de seguridad pendientes de implementación como meras recomendaciones. La adaptación no concluye hasta que las medidas se hayan implementado y verificado su eficacia.
7. Consultor con formación específica
Debe exigirse al consultor formación específica especializada. La recogida de información debe realizarla una persona con unos conocimientos cualificados que le permitan adquirir la capacitación profesional que la aplicación de la normativa exige. Se requieren conocimientos tanto en el ámbito jurídico como tecnológico y organizativo. El consultor debe poder acreditar su formación y experiencia y una forma de hacerlo es a través de una certificación profesional.
8. Desconfíe de la certificación
Si la empresa de consultoría se compromete a ofercer un certificado de cumplimiento, hay que desconfiar. En España todavía no se han desarrollado los marcos de certificación para entidades, pero será una labor desarrollada por la AEPD junto con ENAC. Los certificados emitidos por empresas que a su vez ejercen labores de consultoría no garantiza los requisitos de independencia necesarios. Este certificado no lo protegerá ante malas prácticas, denuncias, inspecciones ni las sanciones.
9. Seguro
Aunque la consultora asegure que cubre los daños derivados del asesoramiento o del incumplimiento del Reglamento, ello no supone una garantía real. Contratar un seguro no evita el riesgo que para la reputación de una organización comporta la declaración de una infracción y su sanción y publicación por parte de la AEPD. Si no se advierte de la necesidad de adoptar medidas de seguimiento y control, si no se indica la importancia de verificar su seguridad cíclicamente y corregir cualquier defecto o incidencia que advierta, si se asegura que "el seguro lo cubre todo", el proyecto no es bueno.
10. Desconfirar de lo gratuito o del 2x1
Tal y como advierte la APEP, los servicios de consultoría tienen costes. Se han ofertado proyectos de adaptación al RGPD con anuncios que dicen: "esto no nos va a costar nada, o casi nada, ya que aprovecharemos una subvención de otra cosa para pagarlo". Los precios por debajo de mercado o asesoramientos jurídicos y técnico en formato 2x1 pueden traer graves consecuencias.
Consiga aquí, gratis hasta el 31 de mayo, una guía con los conceptos clave que has de dominar para proteger tus derechos de privacidad con el nuevo reglamento, de aplicación a partir del 25 de mayo.