Inicio

Cómo lidiar con la imprecisión del Artículo 30

El RGPD establece varios derechos y obligaciones para las organizaciones que requieren soporte de software. El proveedor de software deberá decidir cómo interpretar el Reglamento y cuándo es necesario contar con un software de cumplimiento del RGPD o realizar un registro de tratamiento de datos. Dada la imprecisión de muchos conceptos del RGPD, los proveedores realizarán diferentes interpretaciones del mismo y esto puede tener distintos efectos en el software. Por lo tanto, será todo un desafío conectar entre sí las ofertas de software, mantener la funcionalidad, y cumplir al mismo tiempo con los requisitos del Artículo 30.

Algunas aplicaciones prácticas del software para el cumplimiento del RGPD son:

  • Notificaciones de violación de datos personales las autoridades de control (en lugar de completar los formularios web manualmente)
  • Conexiones entre las herramientas de localización de datos (data discovery tooling) y los registros del Artículo 30 (para inventariar automáticamente los usos de los datos personales)
  • Portabilidad de datos entre diferentes aplicaciones de software de registro del Artículo 30 (esto permite cambiar de proveedor y mantener los datos ingresados)
  • Intercambio de actividades de tratamiento entre responsables y encargados (esto permite completar el registro del Artículo 30 con más facilidad)

En su mayoría, estos ejemplos se refieren al Artículo 30, que exige el registro de las actividades de tratamiento. Sin embargo, otros derechos y obligaciones del RGPD tienen que ver con la comprensión del "panorama de privacidad" de una organización y, por lo tanto, estarán relacionados con el registro del Artículo 30.

Establecer conexiones de software en el software del RGPD

Para establecer conexiones de software, las aplicaciones deben “hablar” entre ellas. A menudo lo hacen a través de la llamada “interfaz de programación de aplicaciones” (API, por sus siglas en inglés). Pero para que esto funcione, sería conveniente contar con un modelo estandarizado del RGPD que describa con precisión algunos conceptos del Reglamento, tales como las categorías de datos personales, categorías de interesados, responsables y encargados.

Tratamiento de datos y RGPD

En los últimos meses, hemos hablado con varias personas acerca de la multiplicidad de descripciones de las actividades de tratamiento. Por ejemplo, uno de los encuestados tenía una conexión a nivel de categorías individuales de datos personales en vez de una conexión a nivel de tratamiento solamente. Otro había relacionado las categorías de datos personales con categorías de interesados. Y un tercer encuestado había asignado términos de retención a los sistemas en lugar de a las categorías de datos personales.

Sabemos que estas opciones de descripción tienen su justificacíon, aunque no se desprenda literalmente del RGPD. Cualquier persona que describa una actividad de tratamiento tendrá su propio enfoque dependiendo de su modelo de gestión y de las políticas y prácticas locales. El problema es que cuando las descripciones varían de esta forma resulta muy difícil reutilizarlas en otros sistemas de software.

A falta de orientación por parte del Comité Europeo de Protección de Datos (CEPD), las organizaciones, los despachos de abogados, las empresas de consultoría y los proveedores de software deben adivinar el significado exacto de los artículos del RGPD —en especial, del Artículo 30. Y, como abogado, sé que es prácticamente imposible eliminar toda imprecisión de la ley. De hecho, los conceptos son rara vez blanco o negro.

Por supuesto, en el texto del RGPD abundan las conciliaciones políticas que permiten que las autoridades de control y los tribunales tomen decisiones significativas posteriores. Pero hay mucha incertidumbre entre los profesionales de la privacidad sobre la cuestión del cumplimiento. Incluso la Autoridad de Control de los Países Bajos, que actualmente está entrevistando a organizaciones de diferentes sectores sobre el registro del Artículo 30, formula sus preguntas con cautela.

Tal nivel de incertidumbre llama a preguntarnos: ¿por qué se ha abordado el registro del Artículo 30 de forma tan imprecisa? Una descripción formal y específica de los elementos y de las relaciones entre sí, que explique qué entidades y qué relaciones deben mantenerse para cada registro de tratamiento habría servido para eliminar dicha incertidumbre. También habría facilitado la comunicación automatizada entre las partes interesadas.

Esperemos contar pronto con una guía clara del CEPD sobre el registro del Artículo 30. Esto traerá más certeza a los responsables y encargados sobre las entidades y relaciones que deben incluir en el registro y arrojará un poco de luz sobre el nivel de detalle que debe tener el inventario de las actividades de tratamiento, lo que, sin duda, resultará en mayor seguridad jurídica y eficacia en el mercado de software para el cumplimiento del RGPD.

Laurens Mommers

Laurens Mommers

COO PrivacyPerfect

rgpd gratuit guida

 

Contáctenos

¿Tiene alguna duda sobre este artículo o le gustaría recibir más información sobre PrivacyPerfect? Por favor, complete el siguiente formulario. Prometemos no enviarle newsletters a menos que se suscriba marcando la casilla correspondiente (desactivada por defecto).