Decálogo para elegir “con acierto” una Consultora de Protección de Datos

consultoría

Un buen asesoramiento en cualquier materia, no es fácil de encontrar.

En Protección de Datos, no podía ser menos. Hay empresas que buscan ante todo, y por encima de todo, que su proveedor “les haga precio”. Algunas, valoran preferentemente un precio alto, como sinónimo de calidad. Otras, buscan un equilibrio, pero a menudo, no sabrían cómo decidir ni qué apreciar para estar decididos a contratar a una buena consultora.

Recientemente Mar España, Directora de la Agencia Española de Protección de Datos, en una entrevista con la Asociación de Profesionales para la Privacidad, lanzaba una serie de puntos que las empresas deben valorar a la hora de contar con un equipo asesor en materia de Protección de Datos. Os los trasladamos tal cuál, para vuestra tranquilidad:

“Hay empresas de consultoría que están engañando a las empresas aprovechando la aplicación del Reglamento General de Protección de Datos (RGPD)…y por eso, hemos elaborado un decálogo de recomendaciones básicas que permitan a las organizaciones privadas y públicas identificar cuando se les ofrece un asesoramiento adecuado. Por ese motivo, al contratar un proyecto de consultoría para adecuarse al RGDP debe tenerse en cuenta que:

I. Adaptarse para cumplir la normativa requiere la implicación del cliente además del trabajo del consultor. La empresa que recibe el servicio debe intervenir en determinados aspectos activamente. Si le ofrecen un documento para firma sin haber estudiado su empresa: el proyecto no será bueno

II. El cumplimiento no es algo puntual, la normativa exige ahora garantizar la debida diligencia y demostrar la responsabilidad activa por la protección de los datos personales. Por tanto, requiere labores para mantener un adecuado nivel de cumplimiento en el tiempo.

III. La aplicación del RGPD nunca es teórica, no existen recetas de “copiar pegar”, no basta con marcar cruces en un cuestionario, debe adaptarse a la realidad específica de la organización. Con independencia del procedimiento utilizado, su asesor debe conocer en profundidad su empresa u organización visitándola físicamente si procede, y lo habitual es que así sea si se quiere diseñar medidas de seguridad en relación con el entorno físico. Usted debe percibir ese interés y preguntas acerca de la organización interna y funcionamiento.

IV. Un asesoramiento adecuado debe incorporar un capítulo adecuado de formación de calidad y de concienciación al personal. Las formas de llevar a cabo la formación pueden ser diversas, pero deben permitir contestar afirmativamente a las siguientes cuestiones:
– ¿Incluye medidas para que los usuarios tomen conciencia de la importancia del derecho fundamental a la protección de datos personales?
– ¿Precisa las obligaciones impuestas por la normativa y cómo cumplirlas?
– ¿Transmite las consecuencias de su incumplimiento?

V. La adaptación puede suponer cambios. Deben detectarse las buenas prácticas y proponerse correcciones a las que pudieran ser inadecuadas

VI. El objetivo a perseguir ha de ser la adecuación plena, por tanto, el proyecto debe ofrecer acciones que persigan un cumplimiento real no sólo formal. La plena adaptación no concluye hasta que las medidas se hayan implementado y verificado su eficacia. Ello se puede conseguir con seguimientos cada cierto tiempo o auditorias.

VII. Debe exigirse al equipo central de la consultoría formación específica especializada. La recogida de información requiere conocimientos tanto en el ámbito jurídico como tecnológico y organizativo.

VIII. Si la empresa de consultoría se compromete a ofrecerle un certificado oficial y supervisado de cumplimiento, desconfíe. El RGDP regula la certificación de cumplimiento en el Artículo 42 y garantiza unos requisitos formales para los Organismos de Certificación. En España todavía no se han desarrollado los marcos de certificación en este campo.

IX. Aunque le aseguren cubrir los daños derivados del asesoramiento o del incumplimiento del RGPD su empresa nunca estará del todo a salvo. Aunque se contrate la cobertura de un seguro, siempre se enfrenta al riesgo del daño reputacional de la declaración de una infracción y su sanción. La confianza de sus clientes no la garantiza ninguna aseguradora, exige un esfuerzo cotidiano. Si su consultora no le ha advertido de la necesidad de adoptar medidas de seguimiento y control, si no le ha indicado la importancia de verificar su seguridad cíclicamente y corregir cualquier defecto o incidencia que advierta, si le garantizan que no pasará nada que “el seguro lo cubre todo”, debemos desconfiar.

X. Ofrecer un servicio de consultoría tiene costes. Hay empresas que ofrecen un proyecto de adaptación al RGPD sin coste o coste “0″ con frases como “esto no les va a costar nada”. El asesoramiento jurídico y técnico no puede venderse a 2 X 1. Cuando una empresa nos dice “esto es gratis”, o “se lo regalo íntegramente con un proyecto de formación subvencionada”, debemos desconfiar. Siempre debe conllevar un coste adicional a la formación.

 

Estamos seguras de que lo que os dejamos os ayudará ante dudas, para comprometeros con vuestro proyecto de adecuación, saber elegir los profesionales de confianza, no extrañaros cuando os requerimos determinados esfuerzos, y sobre todo, no dejaros engañar por proyectos sin coste o que jamás os visitan para explicaros las cuestiones necesarias, verificar y hacer comprobación y auditoria si tenéis locales de negocio, que os ofrecen un proyecto tipo “pack” sin especializar, un seguro contra “todo riesgo” en protección de datos, o un certificado “oficial” de cumplimiento.

Esperamos que el servicio que os venimos ofreciendo en MENTORA, lo veáis reflejados al máximo en estos parámetros y estéis tranquilos y confiados en nuestro asesoramiento.

 

Feliz día!

 

Comentarios cerrados.


Contacta con Nosotros