Reproduïm el decàleg de recomanacions elaborat per l’Associació de Professionals de Privacitat (APEP), de la qual formen part els nostres socis, per a evitar contractar pràctiques inadequades ofertes per algunes consultores, aprofitant-se de l’entrada en vigor del Reglament General Europeu de Protecció de Dades (d’ara endavant, “RGPD”):
«I. Adaptar-se per a complir la normativa requereix la implicació del client a més del treball del consultor. Tant l’adequació al RGPD com mantenir aquest compliment legal en el temps requereix que el client estigui conscienciat; fins i tot és necessari que determinades persones de l’organització intervinguin activament en el projecte. Si en el projecte només treballa i es compromet la consultora, si li ofereixen un document perquè el signi sense haver estudiat la seva empresa és molt possible que NO ESTIGUEM DAVANT UN BON PROJECTE.
II. El compliment no és una cosa puntual, la normativa exigeix ara garantir la deguda diligència i demostrar la responsabilitat activa per la protecció de les dades personals. Per tant, requereix labors per a mantenir un adequat nivell de compliment en el temps. Si tot el projecte se cenyeix al lliurament d’una documentació després d’emplenar uns qüestionaris, i no es defineixen accions que han de tenir la seva continuïtat en el temps, definitivament NO ESTEM DAVANT UN BON PROJECTE.
III. L’aplicació del RGPD mai és teòrica, no existeixen receptes de “copiar pegar”, no n’hi ha prou amb marcar creus en un qüestionari, ha d’adaptar-se a la realitat específica de l’organització. Amb independència del procediment utilitzat, el seu assessor ha de conèixer en profunditat la seva empresa o organització visitant-la físicament si escau, i l’habitual és que així sigui si es vol dissenyar mesures de seguretat en relació amb l’entorn físic. Si Vostè no percep aquest interès a indagar sobre el funcionament real de l’organització en tots els àmbits afectats per l’abast del treball sol·licitat (físic, informàtic, de gestió, etc.) NO ESTEM DAVANT UN BON PROJECTE.
IV. Un assessorament adequat ha d’incorporar un capítol adequat de formació de qualitat i de conscienciació al personal. Les maneres de dur a terme la formació poden ser diverses, però han de permetre contestar afirmativament a les següents qüestions:
– Inclou mesures perquè els usuaris prenguin consciència de la importància del dret fonamental a la protecció de dades personals?
– Precisa les obligacions imposades per la normativa i com complir-les?
– Transmet les conseqüències del seu incompliment?
Si la resposta és negativa, NO ESTEM DAVANT UN BON PROJECTE.
V. L’adaptació pot suposar canvis. Si després de l’anàlisi de la seva organització no s’han identificat les bones pràctiques i no s’han proposat correccions a les quals poguessin ser inadequades NO ESTEM DAVANT UN BON PROJECTE.
VI. L’objectiu a perseguir ha de ser l’adequació plena, per tant, el projecte ha d’oferir accions que persegueixin un compliment real no sols formal. No podem conformar-nos amb un registre d’activitats de tractament “per a arxivar” o una anàlisi de riscos estàndard que proporciona un conjunt de mesures de seguretat “pendents d’implementació” com a meres recomanacions en el millor dels casos. La plena adaptació no conclou fins que les mesures s’hagin implementat i verificat la seva eficàcia. En cas contrari, NO ESTEM DAVANT UN BON PROJECTE.
VII. Ha d’exigir-se al consultor formació específica especialitzada. La recollida d’informació ha de realitzar-la una persona amb formació qualificada que li permeti adquirir la capacitació professional que l’aplicació de la normativa exigeix. Es requereixen coneixements tant en l’àmbit jurídic com tecnològic i organitzatiu. El consultor ha de poder acreditar la seva formació i experiència i una manera de fer-ho és a través d’una certificació professional, com pot ser la certificació ACP de APEP que reconeix formació universitària i pròpia. Quan el nostre interlocutor en la consultora no reuneixi aquests requisits, NO ESTEM DAVANT UN BON PROJECTE.
VIII. Si l’empresa de consultoria es compromet a oferir-li un certificat de compliment desconfiï. El RGDP regula la certificació de compliment en l’Article 42 i garanteix uns requisits formals per als Organismes de Certificació segons l’Article 43 que assegurin la independència d’aquests. A Espanya encara no s’han desenvolupat els marcs de certificació per a entitats, però serà una labor desenvolupada per l’AEPD juntament amb ENAC. Els certificats emesos per empreses que al seu torn exerceixen labors de consultoria no garanteix els requisits d’independència necessaris. Aquest certificat no el protegirà davant males pràctiques, denúncies, inspeccions ni les sancions que es puguin derivar. Si un projecte li ofereix aquesta “garantia”, NO ESTEM DAVANT UN BON PROJECTE.
IX. Encara que li assegurin cobrir els danys derivats de l’assessorament o de l’incompliment del RGPD Vostè mai estarà del tot fora de perill. Encara que es contracti la cobertura d’un segur, Vostè sempre s’enfronta al risc que per a la reputació de la seva organització comporta la declaració d’una infracció i la seva sanció i publicació en la web de l’AEPD. La confiança dels seus clients no la garanteix cap asseguradora, exigeix un esforç quotidià. Si la seva consultora no li ha advertit de la necessitat d’adoptar mesures de seguiment i control, si no li ha indicat la importància de verificar la seva seguretat cíclicament i corregir qualsevol defecte o incidència que adverteixi, si li garanteixen que no passarà res que “l’assegurança ho cobreix tot” NO ESTEM DAVANT UN BON PROJECTE.
X. Oferir un servei de consultoria té costos. A vegades, ens ofereixen un projecte d’adaptació al RGPD amb anuncis com “això no ens costarà res, o gairebé res, ja que aprofitarem una subvenció d’una altra cosa per a pagar-ho”. L’assessorament jurídic i tècnic no pot vendre’s a 2×1. Si Vostè és empresari, si administra una organització sap perfectament que oferir dos serveis per un, i generalment a preus per sota dels del mercat és un negoci ruïnós. Quan una empresa ens ofereixi un servei d’aquesta naturalesa és molt probable que ens estigui animant a cometre un frau, Si ens diuen “això és gratis”, o “li ho regalo amb un projecte de formació subvencionada” NO ESTEM DAVANT UN BON PROJECTE.»
Digital Lex
