USO DE COOKIES

Utilizamos cookies propias y de terceros para mejorar nuestros servicios y mostrarle publicidad relacionada con sus preferencias mediante el análisis de sus hábitos de navegación. Si continúa navegando, consideramos que acepta su uso. Puede obtener más información, o bien conocer cómo cambiar la configuración, en nuestra Política de cookies

Ocultar / Mostrar comentarios

Cómo adaptarse al nuevo Reglamento de Protección de Datos

  • 1-12-2017 | Wolters Kluwer
  • Es importante que las empresas se preparen para el nuevo tratamiento de datos que comenzará a aplicarse el 25 de mayo de 2018 a más tardar como consecuencia de la entrada en vigor de la Directiva (UE) 2016/680 que aprueba el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo en nuestro país al de 1995

Ya se ha recordado otras veces que es importante que las empresas se preparen para el nuevo tratamiento de datos que comenzará a aplicarse el 25 de mayo de 2018 a más tardar como consecuencia de la entrada en vigor de la Directiva (UE) 2016/680 que aprueba el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo en nuestro país al de 1995.

Dos años han dado las autoridades europeas para que las entidades, organismos públicos y empresas que tratan datos personales de ciudadanos, cliente y empleados puedan adaptarse a la nueva normativa dada la importancia de esta reforma.

Las empresas deben tener presente que incumplir las normas de privacidad de la información que almacenen sobre sus clientes y trabajadores puede dar lugar a sanciones de hasta 20 millones de euros o el 4% de la facturación anual del negocio. Sin embargo, varios estudios revelan que el proceso de adaptación va demasiado lento hasta el punto de que un 70% de compañías europeas no logrará cumplir a tiempo con el nuevo RGPD. Esta situación es más alarmante entre las pequeñas y medianas empresas dado que muchas de ellas ni siquiera conocen que existe un reglamento que ha sido poco divulgado.

Los expertos consideran sin embargo que todavía se está a tiempo para adaptarse a la nueva normativa y para ello recomiendan lo siguiente:

  • Evaluación previa. Antes de dedicar recursos y dinero para la compra de herramientas o tecnología, lo primero sería evaluar el programa ya existente de seguridad de la empresa, cómo está preparada a la hora de su cumplimiento, cuál es la política y procedimientos de protección de datos, así como asegurar que se tienen acuerdos sobre el tema y las notificaciones en orden. Es necesario, en suma, comenzar construyendo la infraestructura alrededor de la protección de datos y construir un programa de privacidad acorde.
  • Datos a proteger. También es importante tener un registro del tratamiento de las actividades y medidas preventivas para que no ocurra un ataque. Y para ello hay conocer bien qué datos se manejan, en qué sistemas, quién tiene acceso a ellos y para qué se utilizan. Se trataría en esencia de realizar una valoración previa del riesgo del tratamiento de datos y adoptar en consecuencia las medidas exigibles para su protección.
  • Registro de las actividades. Aunque el nuevo RGPD elimina la obligación de registrar los ficheros, «cada responsable y, en su caso, su representante debe llevar un registro de las actividades de tratamiento, efectuadas bajo su responsabilidad.» Dicho registro deberá contener unos campos mínimos recogidos en la normativa. Quedan exentas, las empresas que empleen a menos de 250 trabajadores, salvo que el tratamiento afecte a categorías especiales de datos.
  • Datos «desde el diseño» y «por defecto». La protección de datos desde el diseño implica que el Responsable debe adoptar las medidas técnicas y organizativas apropiadas atendiendo a su «contexto» para la protección de datos. Mientras que la protección de datos por defecto, implica que esas medidas preventivas y organizativas aplicadas por el Responsable, deben garantizar que por defecto, solo sean objeto de tratamiento los datos necesarios para cada uno de los fines específicos del tratamiento.
  • Datos personales. No se establecen categorías de datos ni medidas de seguridad concretas. No obstante, el Responsable y el Encargado tienen que aplicar medidas técnicas y organizativas apropiadas atendiendo al nivel de seguridad adecuado al riesgo. Entre estas medidas cabe destacar el cifrado de datos personales o la capacidad de garantizar la confidencialidad, la capacidad de restaurar la disponibilidad en caso de incidente físico ó técnico, y el acceso a los datos personales de forma rápida, a través de un proceso de verificación.
  • Quiebras de seguridad. El Reglamento define, lo que denomina «quiebras de seguridad» e incluye de forma amplia «destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.». La notificación a la Autoridad debe producirse dentro de las 72 horas siguientes desde que se tenga constancia de ella.
  • Evaluación de impacto sobre la protección de datos. Cuando el tratamiento de datos conlleve un alto riego para los derechos y libertades de los interesados, los responsables de datos deben de realizar una «Evaluación de impacto sobre la Protección de Datos», con carácter previo a la puesta en marcha del tratamiento.
  • Delegado de Protección de Datos. El delegado de protección de datos puede ser bien personal interno ó externo y el Reglamento europeo obliga a que cualquier empresa que trate información deberá contar con esta figura. La prestación de sus servicios deberá ser publicada y comunicado a la autoridad de control.
  • Derechos ARCO. El RGPD modifica la gestión de los derechos de acceso, rectificación, cancelación y oposición, los llamados derechos ARCO. Se mantiene la gratuidad, pero si la solicitud es «manifiestamente infundada o excesiva» el Responsable puede negarse a responder. No obstante, el Responsable deberá facilitar una copia de los datos personales objeto del tratamiento. El Reglamento regula por otra parte expresamente el conocido derecho al olvido y concede a los herederos la posibilidad de poder acceder, rectificar, o suprimir los datos de los fallecidos. Incluso, la posibilidad de que el titular de los datos, antes de su fallecimiento, indique el tratamiento de sus datos personales.
  • La Agencia Española de Protección de Datos (AEPD) ha diseñado Facilita RGPD, para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el nuevo RGPD. Se trata de una herramienta planteada como un cuestionario online con una duración máxima de 20 minutos con el que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener los documentos mínimos indispensables para facilitar el cumplimiento del RGPD al terminar el test.La información que las empresas aporten –y que la AEPD no conserva ni monitoriza de forma alguna— les permitirá obtener esos documentos casi completados. Esas plantillas incluyen los requerimientos básicos marcados por el RGPD, como el registro de actividades de tratamiento, la cláusula informativa, las cláusulas que deberían incluirse si la empresa contrata con un encargado del tratamiento (una gestoría, por ejemplo) y un anexo con las medidas de seguridad mínimas.

    El test está dividido en cuatro bloques. En el primero, la organización debe seleccionar cuál es su sector de actividad y el tipo de datos que trata. A continuación, una vez que se constata que los tratamientos que realiza entrañan, a priori, un escaso nivel de riesgo para los derechos y libertades de las personas, Facilita RGPD pedirá al responsable que aporte cierta información sobre su empresa (nombre, dirección, CIF o teléfono, entre otros). En el tercer bloque, la aplicación solicitará información sobre los tratamientos que realiza (clientes, empleados, currículum de candidatos, etc.) Con la información aportada, en la última fase se generarán los documentos mínimos indispensables para facilitar el cumplimiento del RGPD.

    Facilita RGPD se suma así a otras iniciativas que la Agencia ha puesto en marcha para promover el cumplimiento del nuevo Reglamento, entre las que también hay que destacar el Esquema de certificación de Delegados de Protección de Datos que ofrece seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que vayan a contratar sus servicios.

Scroll
Scroll