¿Cuáles son las preguntas críticas que deben hacerse en la adaptación del GDPR?

He leído cuidadosamente el comunicado de prensa de Deborah Dillon y quiero enfatizar algunos aspectos que considero que pueden ser útiles en el proceso de adaptación de GDPR. Tales como:

-         ¿Conoce la información personal que está tratando, y el sistema donde reside?

-         ¿Puede ejercitar el derecho al olvido sobre la información personal tratada? ¿cómo afectará esto a su organización?

-         ¿Es posible portar la información personal a otros sistemas externos? ¿Tiene impacto en la seguridad de la información dicha portabilidad?

-         ¿Cuenta con un profesional de protección de datos, que pueda asumir el rol de DPO? ¿Qué entidad se podrá  adecuar más a su organización, un DPO o un Comité de DP?

-         ¿Su organización se ha visto expuesta a la reclamación por parte del organismo de control? ¿Se ha implantado un plan de adecuación y mejora continua ante dichas reclamaciones?

-         ¿Posee una política de privacidad en línea con la política de seguridad de la información? ¿Actualiza dichas políticas?

-         ¿Elimina de forma segura la información personal, esta eliminación está alineada con su normativa de custodia de información?

-         ¿El consentimiento y licitud de los tratamientos están alineados con el GDPR?

-         ¿Cómo afectaría a su organización una sanción de 20 millones de euros?

En definitiva, esta adecuación puede suponer una gran restructuración en su organización. Por ello partir de un análisis detallado sobre la diferencia entre su actual cumplimiento y el que requiere el GDPR sería lo recomendable. Para ello, es necesario identificar las áreas de alto riesgo que necesitan una focalización, implementación y desarrollo, puede suponer la diferencia entre una mala o buena hoja de ruta.

Gracias Deborah por su excelente punto de vista.

What are the critical questions to ask yourself by the GDPR adaptation?

I carefully read the press release by Deborah Dillon and want to emphasize you some aspects that I consider may be helpful in the GDPR adaptation process . Such as:

Do you know what personal information you are processing, and on which system it resides?

Can you exercise the “right to be forgotten” about the processing personal information? How will it affect you?

Could you realize the personal information portability to the external or others systems? Do you have impact in the information security by the “right to portability”?

Do you expect a data protection professional, who can take the responsibility for DPO role? What are the best entities for your organization, one DPO or the DP Committee?

Do you have complaints from the control authority? Have you established a necessary adaptations and continuous improvement to those complaints?

Do you have a privacy statement, which is aligned with the statement of the information security? Are you updating the normative?

Are you securely deleting the personal information, which is aligned with the normative of the information custody?

Are your models for obtaining the processing consent and lawfulness in line with GDPR requirements?

How would a GDPR fine of up to €20 million affect your organization?

In conclusion, this adaptation can be a big restructuration in your organization. For this reason, it must start with a gap analyses about the different between your currently compliance status and the necessary compliance according to GDPR. This advice would be the appropriate. Besides for that’s necessary to identify high-risk areas that need a hard focusing, implementation and development, it could be the different between a good or bad GDPR roadmap.

Thank Deborah for your excellent point of view.