Cómo gestionar el cumplimiento del RGPD: qué implica el artículo 41 para las empresas
GDPR El artículo 41 es continuación del artículo 40 (códigos de conducta) al estipular que el cumplimiento de un código de conducta debe ser monitoreado por una autoridad apropiada, con un área adecuada de experiencia relacionada con las prácticas comerciales y los objetivos de la organización.
Las organizaciones deben reconocer la autoridad y los procedimientos necesarios de los órganos de seguimiento y tratar de cumplirlos en todo momento.
RGPD Artículo 41 Texto Legal
Versión del RGPD de la UE
Seguimiento de los códigos de conducta aprobados
- Sin perjuicio de las funciones y competencias de la autoridad de control competente con arreglo a los artículos 57 y 58, el control del cumplimiento de un código de conducta con arreglo al artículo 40 podrá ser realizado por un organismo que tenga un nivel adecuado de experiencia en la materia - Materia del código y esté acreditado a tal efecto por la autoridad de control competente.
- Un organismo a que se refiere el apartado 1 podrá estar acreditado para supervisar el cumplimiento de un código de conducta cuando dicho organismo:
- a) ha demostrado su independencia y experiencia en relación con el objeto del código a satisfacción de la autoridad de control competente;
- (b) procedimientos establecidos que le permitan evaluar la elegibilidad de los responsables y procesadores interesados para aplicar el código, monitorear su cumplimiento de sus disposiciones y revisar periódicamente su funcionamiento;
- (c) procedimientos y estructuras establecidos para manejar quejas sobre infracciones del código o la manera en que el código ha sido, o está siendo, implementado por un controlador o procesador, y para hacer que esos procedimientos y estructuras sean transparentes para los interesados y el público ; y
- d) ha demostrado, a satisfacción de la autoridad de control competente, que sus tareas y deberes no dan lugar a un conflicto de intereses.
- La autoridad de control competente presentará a la Junta el proyecto de criterios para la acreditación de un organismo a que se refiere el apartado 1 del presente artículo con arreglo al mecanismo de coherencia a que se refiere el artículo 63.
- Sin perjuicio de las funciones y competencias de la autoridad de control competente y de las disposiciones del CAPÍTULO VIII, el organismo mencionado en el apartado 1 del presente artículo, sujeto a las salvaguardias adecuadas, adoptará las medidas adecuadas en caso de infracción del código por parte de un responsable del tratamiento. o encargado del tratamiento, incluida la suspensión o exclusión del responsable o encargado del código. Informará a la autoridad de control competente de tales acciones y de los motivos para adoptarlas.
- La autoridad de control competente revocará la acreditación de un organismo a que se refiere el apartado 1 si las condiciones para la acreditación no se cumplen o ya no se cumplen o cuando las acciones tomadas por el organismo infrinjan el presente Reglamento.
- Este artículo no se aplicará al tratamiento realizado por autoridades y organismos públicos.
Versión del RGPD del Reino Unido
Seguimiento de los códigos de conducta aprobados
- Sin perjuicio de las tareas y competencias del Comisario en virtud de los artículos 57 y 58, el control del cumplimiento de un código de conducta con arreglo al artículo 40 podrá ser realizado por un organismo que tenga un nivel adecuado de experiencia en relación con la materia del código, y está acreditado a tal efecto por el Comisionado.
- Un organismo a que se refiere el apartado 1 podrá estar acreditado para supervisar el cumplimiento de un código de conducta cuando dicho organismo:
- (a) demostró su independencia y experiencia en relación con el tema del código a satisfacción del Comisionado;
- (b) procedimientos establecidos que le permitan evaluar la elegibilidad de los responsables y procesadores interesados para aplicar el código, monitorear su cumplimiento de sus disposiciones y revisar periódicamente su funcionamiento;
- (c) procedimientos y estructuras establecidos para manejar quejas sobre infracciones del código o la manera en que el código ha sido, o está siendo, implementado por un controlador o procesador, y para hacer que esos procedimientos y estructuras sean transparentes para los interesados y el público ; y
- (d) demostrado a satisfacción del Comisionado que sus tareas y deberes no dan lugar a un conflicto de intereses.
- Sin perjuicio de las tareas y poderes del Comisario y de las disposiciones del organismo mencionado en el apartado 1 del presente artículo, con sujeción a las salvaguardias apropiadas, tomará las medidas apropiadas en casos de infracción del código por parte de un responsable o encargado del tratamiento, incluida la suspensión o exclusión del responsable o encargado del tratamiento del código. Informará al Comisionado de dichas acciones y de los motivos para adoptarlas.
- El Comisario revocará la acreditación de un organismo a que se refiere el apartado 1 si las condiciones para la acreditación no se cumplen o ya no se cumplen o cuando las acciones tomadas por el organismo infrinjan el presente Reglamento.
- Este artículo no se aplicará al tratamiento realizado por autoridades y organismos públicos.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
Comentario técnico
El artículo 41 del RGPD analiza la idoneidad y función del organismo de seguimiento en cinco áreas clave:
- El papel subyacente que desempeña el órgano de seguimiento.
- Una cantidad adecuada de experiencia que se requiere para llevar a cabo una función de seguimiento.
- Qué tan independiente es un organismo de las organizaciones que debe monitorear.
- Un conjunto establecido de procedimientos para monitorear las organizaciones.
- Cómo se puede revocar el respaldo/acreditación.
ISO 27701 Cláusula 5.2.1 (Comprensión de la organización y su contexto) y artículo 41 del RGPD UE
En esta sección hablamos de los artículos 41 (1), 41 (2) (a), 41 (2) (b), 41 (2) (c), 41 (2) (d), 41 (3) del RGPD. 41(4), 41(5), 41(6)
Las organizaciones deben someterse a un ejercicio de mapeo que enumere los factores internos y externos relacionados con la implementación de un PIMS.
La organización debe poder comprender cómo va a lograr sus resultados de protección de la privacidad, y se debe identificar y abordar cualquier problema que se interponga en el camino de la salvaguardia de la PII.
Antes de intentar abordar la protección de la privacidad e implementar una PII, las organizaciones deben primero comprender sus obligaciones como controlador y/o procesador de PII singular o conjunto.
Esto incluye:
- Revisar las leyes, regulaciones o "decisiones judiciales" de privacidad vigentes.
- Teniendo en cuenta el conjunto único de requisitos de la organización relacionados con el tipo de productos y servicios que vende, y los documentos, políticas y procedimientos de gobierno específicos de la empresa.
- Cualquier factor administrativo, incluido el funcionamiento diario de la empresa.
- Acuerdos de terceros o contratos de servicios que tienen el potencial de afectar la PII y la protección de la privacidad.
Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701
| Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
|---|---|---|
| Artículos 41 (1) a 41 (6) del RGPD UE | ISO 27701 5.2.1 | Ninguna |
Cómo ayuda ISMS.online
Logre el cumplimiento del RGPD de la UE y el Reino Unido. Nuestro entorno prediseñado encaja perfectamente en su sistema de gestión y le permite describir y demostrar su enfoque para proteger los datos de sus clientes europeos y del Reino Unido.
Con ISMS.online, puede demostrar fácilmente un nivel de protección de la privacidad que va más allá de lo "razonable", todo en una ubicación segura y siempre disponible.
Descubre más por reservando una breve demostración.
