Una política de protección de datos es un documento interno, núcleo de las medidas que se implementan en una organización que se dedique, por ejemplo, al  diseño web con WordPress para dar cumplimiento al RGPD. Se organiza en dos niveles:

1. Explicar los requisitos del RGPD a los trabajadores.
2. Fijar el compromiso de la organización con su cumplimiento.

En la política de protección de datos no hay que proporcionar detalles específicos acerca de cómo la empresa cumplirá con los requisitos del reglamento. Solo hay que describir cómo se aborda el RGPD en el seno de la organización.

En cuanto a la minimización del uso de datos, en los procedimientos se debe indicar con exactitud cómo se asegurará la empresa de que se cumple con este principio. Por poner un ejemplo, se puede requerir que toda actividad de recopilación de datos venga acompañada de un documento que explique por qué es necesario su procesamiento. En cambio, en la política de protección de datos solo hay que indicar que la empresa tiene intención de abordar ese principio.

3 objetivos de la política de protección de datos

1. Proporcionar la base para que una organización pueda lograr el cumplimiento efectivo del RGPD. La política de protección de datos facilita la división de los requisitos del RGPD en fragmentos manejables que sean aplicables a la organización.
2. Hace que el RGPD sea comprensible para el personal. La mayoría de las personas no son expertas en la materia y no conocerán en profundidad los principios del reglamento. Por eso hace falta una política de protección de datos que explique de forma sencilla cómo se aplica el RGPD a los empleados y cuáles son sus obligaciones.
3. Demuestra que la organización está comprometida con el cumplimiento del reglamento. El artículo 24 del RGPD dice que las organizaciones necesitan aprobar una política para demostrar que el procesamiento de datos se realiza de conformidad con este reglamento. En investigaciones regulatorias es clave demostrar este cumplimiento. Si un cliente se queja de que se han utilizado sus datos indebidamente la autoridad supervisora iniciará una investigación. Por eso, la política de protección de datos será la primera evidencia que busque el regulador para comprobar si la organización se toma en serio el RGPD.

Qué debe incluir una política de protección de datos

• El propósito de la política. Ha de explicar la relación de la política con el RGPD, la importancia de su cumplimiento y por qué para la empresa es necesaria la política.
• Definición de términos clave. Aquí se incluyen términos como controlador, procesador o sujeto de datos.
• Alcance. Ha de confirmar que los requisitos del RGPD se aplican a los datos personales de los residentes de la UE y a cualquier persona de la empresa que procese esa información.
• Principios. Explicación sobre los seis principios del RGPD para el procesamiento de datos y sobre la responsabilidad que de esto se deriva. También hay que señalar el compromiso de la empresa sobre cumplir con estos principios.
• Derechos del sujeto de datos: el RGPD confiere a las personas ocho derechos como sujetos de datos. Han de quedar definidos en la política y la empresa asegurar que se cumplan.

En último lugar, a la hora de completar la política de protección de datos de una empresa hay que insistir en la importancia de proporcionar el nombre del DPO (Oficial de Protección de Datos) designado y sus datos de contacto. Es la persona designada por una empresa para monitorizar el cumplimiento de las normativas de protección de datos. En Imagar te recordamos que entre sus funciones están las de chequear si la organización está cumpliendo con las regulaciones de protección de datos, informar sobre eventuales violaciones de la normativa o ejercer de intermediario entre la organización, las personas implicadas y las autoridades de protección de datos.