Modelo de gobierno de la protección de datos en una empresa multinacional

Abstract

[ES] Con el paso de los últimos años, se ha podido observar cómo los organismos legisladores de Europa y España han avanzado en gran medida para adaptar el marco legislativo al avance imparable de la tecnología. Esto ha ocasionado que se haya tenido que legislar mucho más tarde de lo que tocaba debido a los problemas que les han surgido a los ciudadanos en materia de protección de datos, ya que no había un marco normativo al que acogerse para tramitar los sucesos ocurridos. Es por eso que, entre 2016 y 2018 desde la Unión Europea y España respectivamente, se adecuaron las leyes de protección de datos a los nuevos tiempos añadiendo nuevos derechos y garantías legales a las personas, creando y asignando nuevos roles y responsabilidades a la figura del responsable del tratamiento de datos personales en una empresa. A consecuencia de la creación de este nuevo marco jurídico, las empresas han tenido que adaptarse a las nuevas leyes en tiempo récord y adecuar todos sus procesos y auditorías internas para que cumplan con estas normas. De ahí que se tenga que analizar el modelo de gobernabilidad de las mismas para comprobar si cumplen con la ley vigente actualmente. En el trabajo que aquí se presenta, se va a analizar cómo una multinacional cumple con la ley de protección de datos junto con las funciones y obligaciones que tiene el Delegado de Protección de Datos de la empresa. A todo esto, incorporando en la investigación académica una herramienta que sirva como guía de cumplimiento de la RGPD en la que se analicen los distintos ámbitos de tratamiento a los que esta ley afecta de manera directa en la empresa. De esta manera, se explicarán también los riesgos a los que se expone la compañía y las medidas de protección establecidas para minimizarlos, haciendo hincapié en los procesos de negocio que involucran datos personales. Se espera que esta obra ayude y oriente a todos los interesados en conocer el aseguramiento de la información en el ámbito empresarial actual y dirigir a los negocios hacia la integración de la protección de datos personales, de clientes y empleados por igual, en la cultura empresarial.

[EN] Over the last few years, it has been observed how legislators in Europe and Spain have made great progress in adapting the legislative framework to the unstoppable advance of technology. This has meant that legislation has had to be passed much later than it should have been due to the problems that have arisen for citizens in terms of data protection, since there was no regulatory framework in place to deal with the events that have occurred. That is why, between 2016 and 2018 from the European Union and Spain respectively, data protection laws were adapted to the new times by adding new rights and legal guarantees to individuals, creating and assigning new roles and responsibilities to the figure of the person responsible for the processing of personal data in a company. As a result of the creation of this new legal framework, companies have had to adapt to the new laws in record time and adapt all their processes and internal audits to comply with these rules. Hence, it is necessary to analyse their governance model to check whether they comply with the law currently in force. In the work presented here, we will analyse how a multinational company complies with the data protection law along with the functions and obligations of the company's Data Protection Officer. To all this, incorporating in the academic research a tool that serves as a guide to compliance with the GDPR in which the different areas of processing that this law directly affects the company are analysed. In this way, the risks to which the company is exposed and the protection measures established to minimise them will also be explained, with an emphasis on business processes involving personal data. It is hoped that this work will help and guide all those interested in learning about information assurance in today's business environment and direct businesses towards the integration of personal data protection, for customers and employees alike, into the corporate culture.

[CA] Amb el pas dels últims anys, s'ha pogut observar com els organismes legisladors d'Europa i Espanya han avançat en gran manera per a adaptar el marc legislatiu a l'avanç imparable de la tecnologia. Això ha ocasionat que s'haja hagut de legislar molt més tard del que tocava a causa dels problemes que els han sorgit als ciutadans en matèria de protecció de dades, ja que no hi havia un marc normatiu al qual acollir-se per a tramitar els successos ocorreguts. És per això que, entre 2016 i 2018 des de la Unió Europea i Espanya respectivament, es van adequar les lleis de protecció de dades als nous temps afegint nous drets i garanties legals a les persones, creant i assignant nous rols i responsabilitats a la figura del responsable del tractament de dades personals en una empresa. A conseqüència de la creació d'aquest nou marc jurídic, les empreses han hagut d'adaptar-se a les noves lleis en temps rècord i adequar tots els seus processos i auditories internes perquè complisquen amb aquestes normes. D'aquí ve que s'haja d'analitzar el model de governabilitat de les mateixes per a comprovar si compleixen amb la llei vigent actualment. En el treball que ací es presenta, s'analitzarà com una multinacional compleix amb la llei de protecció de dades juntament amb les funcions i obligacions que té el Delegat de Protecció de Dades de l'empresa. A tot això, incorporant en la investigació acadèmica una eina que servisca com a guia de compliment de la RGPD en la qual s'analitzen els diferents àmbits de tractament als quals aquesta llei afecta de manera directa en l'empresa. D'aquesta manera, s'explicaran també els riscos als quals s'exposa la companyia i les mesures de protecció establides per a minimitzar-los, posant l'accent en els processos de negoci que involucren dades personals. S'espera que aquesta obra ajude i orient a tots els interessats a conèixer l'assegurament de la informació en l'àmbit empresarial actual i dirigir als negocis cap a la integració de la protecció de dades personals, de clients i empleats per igual, en la cultura empresarial.