✔ Uno de los errores más común y reiterado en las organizaciones es la falsa idea de que contando con el aporte de abogados expertos en protección de datos – sean estos internos o externos – y nutriéndose de protocolos, políticas y programas de protección de datos – claramente necesarios, pero no suficientes- estaría garantizado el cumplimiento de los requisitos legales y blindada la empresa ante posibles sanciones de la Agencia Española de Protección de Datos (AEPD). La falta de formación en protección de datos del personal y especialmente de aquel que accede a datos personales desvirtúa la eficacia de los protocolos y de las medidas de seguridad que se implanten por el solo hecho de que los trabajadores no estarían capacitados para ejecutar las acciones pertinentes.
En el presente post, analizaremos la importancia de la formación en protección de datos a la luz del Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, “RGPD”) su relación con el principio de responsabilidad proactiva y las medidas de seguridad.
La formación en protección de datos en el RGPD
El RGPD se refiere a la formación en protección de datos en varios de sus artículos reforzando de esta manera la importancia que esta debe ocupar en las organizaciones para el efectivo cumplimiento de la normativa.
En tal sentido podemos destacar lo dispuesto en el Art. 39 en donde se establece entre las funciones del delegado en protección de datos la de “(…) concienciación y formación del personal que participa en las operaciones de tratamiento (…)” A su vez, el Art. 47.2.n dispone que las normas corporativas establecerán como mínimo “la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales”
A su vez la importancia de la formación en protección de datos se puede vislumbrar de forma más o menos directa a lo largo de todo el RGPD cuando se menciona las medidas organizativas – de la que hablaremos más adelante – que le incumben tanto al responsable como al encargado del tratamiento.
El principio de responsabilidad proactiva y formación en protección de datos
Uno de los principios esenciales del RGPD es el de responsabilidad proactiva que dispone la necesidad de que el responsable del tratamiento aplique las medidas técnicas y organizativas pertinentes para garantizar y demostrar la conformidad con el RGPD.
En palabras de la AEPD – Guía del RGPD para Responsables del Tratamiento –: “este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo”
A diferencia de la normativa anterior en protección de datos, el RGPD no establece cuales han de ser las medidas que se deberán adoptar para cumplir con los requisitos de la norma, sino que pone en cabeza de cada responsable la adopción de las medidas más pertinentes para su organización.
Haciendo alusión a lo ya mencionado con anterioridad, si bien es fundamental contar con los protocolos, políticas y programas necesarios, estas no son medidas suficientes para un correcto cumplimiento del RGPD, ya que sin la correcta formación en protección de datos del personal con acceso a datos se desvirtúa su aplicación. Pongamos por ejemplo las políticas en materia de brechas de seguridad o ejercicio de los derechos. Si el personal no está debidamente capacitado y entrenado no podrán realizar las acciones conforme lo requiere la situación, lo que podrá concluir en un incumplimiento.
De este modo, en aplicación del principio de responsabilidad proactiva la correcta formación del personal es una herramienta fundamental para garantizar y demostrar la conformidad con el RGPD.
La formación en protección de datos como una medida organizativa
El Art. 25.1 del RGPD dispone que “(…) el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas (…) concebidas para aplicar de forma efectiva los principios de protección de datos (…) a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”
La formación en protección de datos del personal con acceso a datos representa una de las medidas organizativas más eficaces para garantizar el cumplimiento del RGPD.
A modo de ejemplo podemos destacar el papel fundamental que tiene la formación del personal en los siguientes casos:
- Para la correcta protección de la confidencialidad de la información (por ejemplo, la concientización del uso del cifrado para proteger la información confidencial).
- Para la seguridad de los sistemas informáticos (por ejemplo, el uso adecuado de los dispositivos).
- Para la correcta protección de los correos electrónicos (por ejemplo, para evitar el phishing o los malware).
- Para la correcta protección de los soportes físicos – hardware y archivos en papel – (por ejemplo, concientizando de la importancia de la aplicación de las medidas de seguridad física).
Conclusiones
Como se ha podido comprobar, la formación en protección de datos es una herramienta fundamental para el adecuado cumplimiento del RGPD, permitiendo tener un personal con las herramientas necesarias para garantizar se cumpla con las exigencias normativas.
▸Estimado lector, ¡¡gracias por su tiempo!!
