En este post vamos a encuadrar legalmente una de las medidas estrella para mitigar riesgos en los Análisis de Riesgos y en las Evaluaciones de Impacto de Protección de Datos dentro de las exigencias normativas del RGPD y la LOPDGD: la formación.
Todos solemos recomendar la formación como medida transversal para mitigar riesgos y aconsejamos a nuestros clientes que realicen formación y concienciación en materia de protección de datos y de seguridad de la información, pero ¿por qué? Si no lo exige directamente el RGPD, ¿cuál es su fundamento entonces?
Son varias las razones que pasamos a exponer a continuación:
Medidas organizativas y técnicas:
La necesidad de formación en materia de protección de datos se deduce de las medidas organizativas y técnicas que deben aplicar los Responsables y Encargados de Tratamiento.
El concepto de aplicación de medidas organizativas y técnicas está presente en varios artículos (Art. 24, art. 25 y art. 32 del RGPD)
Recordemos que ya no tenemos una enumeración de medidas de seguridad a implantar, sino que estas se escogerán en función de un análisis de riesgos.
Así, la Guía de Evaluación de Impacto de Protección de Datos de la Agencia Española de protección de Datos, en su anexo VI, recomienda constantemente la formación como control para mitigar riesgos y no solo formación en protección de datos, sino también en la seguridad y uso adecuado de las TIC.
Principio de Responsabilidad Proactiva:
El propio principio de Responsabilidad proactiva implica que el Responsable del Tratamiento será responsable del cumplimiento de lo dispuesto en RGPD y capaz de demostrarlo. El cumplimiento del RGPD no es algo exclusivo de la Alta Dirección, o de los departamentos de sistemas o jurídicos; sino que requiere una implicación de todo el personal con acceso a datos personales. Por ello, todo ese personal debe saber cuáles son sus obligaciones y, es aquí, donde la formación se convierte en un elemento vertebrador del cumplimiento de la normativa de protección de datos por parte de todo el personal.
Políticas de Protección de Datos:
El art. 24.2 del RGPD establece que “Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos”.
La adopción de políticas y normas internas dirigidas al personal empleado, tanto con carácter general como focalizadas en relación a las funciones que desempeñen dentro de la empresa, jugará un papel decisivo en este objetivo. Para ello será necesario comenzar con una correcta formación de todo el personal con acceso a datos
Funciones del Delegado de protección de Datos (DPD):
El art. 39.2 del RGPD establece entre las funciones del DPD:
“Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes”
Es decir, si entre las funciones del DPD está la concienciación y la formación del personal, esto implica que dicha obligación existe para los Responsables de Tratamiento y que, en caso de tener designado un DPD, será asumida por éste.
Derecho a la desconexión digital
Adicionalmente, hay que añadir que la LOPDGDD en su artículo 88.3 (Derecho a la desconexión digital en el ámbito laboral) establece una formación específica, en este caso, en desconexión digital:
3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia, así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.
Vemos otra vez, como dentro de las políticas dirigidas a los trabajadores, la formación es una parte esencial de la misma
Por todo ello y en conclusión, la formación se convierte una medida esencial vertebradora y transversal del cumplimiento de la normativa de protección de datos en cualquier organización.