RGPD (4): El deber de demostrar el cumplimiento

¿Cual es su forma de demostrarlo?

La obligatoriedad de aplicación del nuevo Reglamento de Protección de Datos está muy próxima a hacerse efectiva, y con este post completamos la pequeña serie que le hemos dedicado a cómo LEET Security contribuye a lograr un cumplimiento eficientre del mismo a las organizaciones responsables del procesamiento de datos personales que precisan establecer y demostrar que lo hacen con las medidas se seguridad adecuadas.

Una de las muchas novedades que trae el nuevo reglamento de protección de datos RGPD, como hemos comentado en un post anterior, es el “principio de responsabilidad proactiva”. Según este principio, el responsable del tratamiento está obligado a aplicar una debida diligencia en los procesos de negocio en los que intervienen datos de carácter personal; y en particular, a implementar un nivel de seguridad adecuado por diseño en función del riesgo. Pero, además, este principio exige al responsable y al encargado del tratamiento la obligación de poder demostrar que efectivamente se están aplicando las medidas de seguridad apropiadas.

Si observamos detenidamente la norma, el deber de demostrar aparece varias veces a lo largo de los considerandos y artículos en distintos contextos.  Señalamos algunos ejemplos a continuación:

•    El responsable del tratamiento es responsable de demostrar que los tratamientos están conformes con el reglamento. (Art. 5.2 y 24.1)
•    El responsable del tratamiento es el encargado de demostrar que una violación de seguridad no supone un riesgo para los derechos y las libertades de las personas físicas. (Considerando 85)
•    El encargado del tratamiento pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas, incluidas las medidas de seguridad (Art 28.3)
•    La adhesión de los responsables del tratamiento a un código de conducta, a un mecanismo de certificación, a sellos, o a marcas de protección de datos, podrá servir de elemento para demostrar el cumplimiento del RGPD (Art 24.3 28.5, 32.3, 42.1, 42,2)

La forma de demostrar algo en cualquier ámbito, es a menudo y de forma tradicional a través de la realización de auditorías, ya sea financiera, jurídica, medioambiental, energética, etc. En LEET Security mejoramos este enfoque de auditoría demostrando la seguridad frente a terceros a través de una calificación independiente y de nuestro sello de acreditación.

La calificación de ciberseguridad de LEET Security es más que una auditoría de seguridad, porque, aunque se basa en la evaluación de un superconjunto de controles de seguridad procedentes de los estándares más reconocidos del sector (Serie ISO/IEC 27000, NIST 800-53, PCI-DSS, ENS, TIA-942, etc), muestra, además, el nivel de seguridad implementado en el servicio auditado. De esta forma permite demostrar la aplicación efectiva de las medidas de seguridad correspondientes al nivel adjudicado.

Mientras que otros estándares como la ISO 27001, evalúan y certifican la implantación de un sistema de gestión de la seguridad de la información, la calificación está orientada y evalúa las medidas técnicas y organizativas aplicadas a servicios o procesos de negocio, por lo que resulta una excelente herramienta para los responsables y encargados del tratamiento de los datos, para poder demostrar que el mismo es conforme al Reglamento.

La garantía de estar aplicando un nivel concreto de ciberseguridad proporciona mayor valor a los proveedores y genera confianza en los servicios prestados; y como consecuencia un mayor grado de tranquilidad en sus clientes y terceras partes, siendo una prueba de aplicación de la debida diligencia tanto en la prestación de servicios como en la contratación de los mismos.

Como usuario, exígela. Como proveedor, acredítala.

All you need is LEET

Suscríbete a nuestra newsleter en este enlace