Claus per identificar un projecte adequat de consultoria per implementar la LOPD de forma integral

Una de les preguntes que ens fem quan parlem de protecció de dades és: aquesta normativa es d’obligat compliment per a la meva organització? A partir de l’article 2 del Reglament de desplegament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD) s’interpreta que haurem de complir la normativa en protecció de dades quan tractem les dades dels nostres empleats i/o les dades del nostres clients quan siguin persones físiques que no actuïn com a empresaris individuals.

L’adaptació a la normativa en protecció de dades és un treball que exigeix un monitoratge i seguiment constants. No obstant això, és recomanable que l’organització compti amb l’assessorament extern d’un consultor expert de manera que es garanteixi la correcta i completa implementació de les obligacions.

L'Associació Professional Espanyola de Privadesa ha elaborat un conjunt de recomanacions bàsiques que permetran a les organitzacions identificar quan se'ls ofereix un assessorament adequat. Abans de contractar un projecte de consultoria per implementar el compliment de la normativa en protecció de dades tingui en compte que:

Adaptar-se per complir la normativa requereix la implicació del client a més del treball del consultor. Tant l'adequació a la LOPD com mantenir aquest compliment legal en el temps requereix que el client estigui conscienciat; fins i tot és necessari que determinades persones de l'organització intervinguin activament en el projecte.

El compliment no és una cosa puntual, la normativa exigeix els seu manteniment en el temps. Si tot el projecte se cenyeix al lliurament d'una documentació després d'emplenar uns qüestionaris, i no es defineixen accions que han de tenir la seva continuïtat en el temps, definitivament no estem davant un bon projecte.

Un assessorament adequat ha d'incorporar un capítol adequat de formació de qualitat i de conscienciació al personal. Les formes de dur a terme la formació poden ser diverses però ha d’incloure mesures perquè els usuaris prenguin consciència de la importància del dret fonamental a la protecció de dades personals, ha de precisar les obligacions imposades per la normativa i com complir-les, i ha de transmetre les conseqüències del seu incompliment.

L'adaptació pot suposar canvis. Si després de l'anàlisi de la seva organització no s'han identificat les bones pràctiques i no s'han proposat correccions a les quals poguessin ser inadequades no estem davant un bon projecte.

L'aplicació de la LOPD mai és teòrica, no existeixen receptes de “copiar enganxar”, no n'hi ha prou amb marcar creus en un qüestionari, ha d'adaptar-se a la realitat específica de l'organització. Amb independència del procediment utilitzat, el seu assessor ha de conèixer en profunditat la seva empresa o organització visitant-la físicament si escau, i l'habitual és que així sigui si es vol dissenyar mesures de seguretat en relació amb l'entorn físic.

S’ha d'exigir al consultor formació específica especialitzada: La recollida d'informació ha de realitzar-la una persona amb formació qualificada. Es requereixen coneixements tant en l'àmbit jurídic com tecnològic i organitzatiu.

L'objectiu a perseguir ha de ser l'adequació plena, per tant, el projecte ha d'oferir accions que persegueixin un compliment real no només formal. No podem conformar-nos amb un document de seguretat “per arxivar” o un conjunt de mesures de seguretat “pendents d'implementació” com a meres recomanacions en el millor dels casos. La plena adaptació no conclou fins que les mesures s'hagin implementat i verificat la seva eficàcia.

Oferir un servei de consultoria té costos. En ocasions, ens ofereixen un projecte d'adaptació a la LOPD amb anuncis com “això no ens costarà res, o gairebé res, ja que aprofitarem una subvenció d'una altra cosa per pagar-ho”. Quan una empresa ens ofereixi un servei d'aquesta naturalesa és molt probable que ens estigui animant a cometre un frau.

Si l'empresa de consultoria es compromet a oferir-li un certificat de compliment desconfiï. Si obtenir un certificat de qualitat, com els ISO, exigeix una complexa labor d'auditoria, com pot vostè creure a les consultores que “certifiquen” el compliment per haver-les contractat? Aquest certificat no el protegirà davant males pràctiques, denúncies, inspeccions ni les sancions que es puguin derivar.

L'evolució de les TIC, com les aplicacions de gestió integral, contribueixen a la millora de la gestió empresarial, però, al mateix temps, suposen fluxos d'informació complexos que exigeixen adoptar mesures de seguretat adequades. Aquests processos han de ser analitzats i documentats adequadament en el document de eeguretat, del qual s'exigeix no solament actualització i vigència sinó també coneixement i praxi.

Encara que li assegurin cobrir els danys derivats de l'assessorament o de l'incompliment de la LOPD vostè mai estarà del tot fora de perill. Encara que es contracti la cobertura d'una assegurança, vostè sempre s'enfronta al risc que per a la reputació de la seva organització comporta la declaració d'una infracció i la seva sanció i publicació en la web de l'Agència Espanyola de Protecció de Dades (AEPD). La confiança dels seus clients no la garanteix cap asseguradora, exigeix un esforç quotidià.