GUÍA PARA ADAPTARSE A LA NUEVA NORMA DE PROTECCIÓN DE DATOS

A partir del 25 de mayo de 2018, el nuevo RGPD europeo se aplicará en España de manera simultánea al resto de normas en materia de protección de datos: LOPD + RGPD.Una nueva norma de protección de datos será aplicabledirectamente a todas las empresas de España, de Europa y, bajo ciertos requisitos, del Mundo: Reglamento General de Protección de Datos Esta normativa europea de protección de datos entró en vigor el 25 de mayo de 2016 pero da un plazo de hasta dos años, hasta el 25 de mayo de 2018, para adaptarse a los cambios que el reglamento establece. Todas las compañías que realicen algún tipo de tratamiento de datos deberán ejecutar importantes cambios antes de 2018.

En el campo empresarial, esta normativa obligará a las empresas a realizar un profundo análisis de sus sistemas de seguridad, encontrando posibles brechas de información que deberán reportar.

El RGPD describe el principio de responsabilidad proactiva como la necesidad de que el responsable del tratamiento, aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

 

Principales novedades y ventajas

 

Necesidad de designar una persona responsable de la protección de datos (el DPO o Data Protection Officer). El DPO deberá garantizar el cumplimiento del reglamento, notificando las violaciones de seguridad y tramitando las autorizaciones necesarias. Esta figura será obligatoria para organismos públicos y para aquellas empresas que gestionen datos personales a gran escala.

 

Necesidad de llevar a cabo evaluaciones de impacto para todas las empresas se dediquen a actividades calificadas de alto riesgo en cuanto al tratamiento de datos que implican (datos sensibles).

 

Se amplía la obligación respecto al deber de informar a los usuarios y clientes y a partir de ahora el consentimiento del usuario debe ser explícito. El Reglamento pide que el consentimiento sea libre, informado, específico e inequívoco. Esto supondrá que los clausulados deberán informar de manera clara, especificando y detallando las finalidades, no dando lugar a confusiones y permitiendo que el afectado confirme expresamente su voluntad. Dejarán de considerarse válidos los “consentimientos tácitos”, o textos muy genéricos donde no se deduzcan los usos previstos y, sin duda, no se podrá admitir un consentimiento derivado de la inacción o el silencio. Además, será necesario añadir información adicional a la facilitada hasta el momento, por lo que será uno de los puntos a empezar a actualizar a fin de que el Reglamento no coja desprevenidas a las empresas.

 

Obligación de informar a la autoridad competente en el caso de que se produzca una brecha de seguridad en la empresa. Es decir, es el responsable de la protección de los datos dentro de la empresa quien debe notificar esta vulnerabilidad.                                                                                                                          72h !

 

El Reglamento establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

 

Obligación de llevar al día un registro donde se concreten las actividades de tratamiento de datos personales.

 

 

¿Qué pasos deben seguir las empresas para cumplir con el RGPD?

Bajo la GDPR, debes implementar un amplio rango de medidas para garantizar que reduces el riesgo de incumplimiento de la GDPR y para que te permita demostrar que te tomas la gestión de la información seriamente.

Criterios (análisis RGPD) y pasos a seguir:

–  Enfoque de riesgo: las medidas dirigidas a garantizar el cumplimiento del RGPD deberán tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. Las medidas previstas en el RGPD deberán adaptarse y tener en cuenta las características específicas de la empresa y el tipo de tratamientos llevados a cabo por la misma.

–  Evaluaciones de impacto de las operaciones de tratamiento: cuando sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas

–  Consentimiento: las personas cuyos datos se traten deben prestar su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. No podrá utilizarse ya la fórmula actual del llamado consentimiento tácito, por defecto: el silencio, las casillas ya marcadas o la inacción no deben validar el consentimiento. Por tanto, a partir de mayo de 2018, sólo serán válidos los tratamientos basados en el consentimiento inequívoco, con independencia de cuándo se haya obtenido ese consentimiento.

–  Transparencia de la Información: el RGPD regula un derecho de información más amplio, con supuestos no requeridos por la actual normativa (vgr. fines y base jurídica del tratamiento, plazo de conservación de los datos, datos contacto del Delegado de Protección de datos en su caso, existencia de decisiones automatizadas, derecho a la portabilidad de los datos).

–  Designación de un Delegado de Protección de Datos:

En el sector público es en todo caso obligatorio la figura del DPO.

En el sector privado será obligatorio si: Las actividades principales consisten en operaciones de tratamiento a gran escala que requieren un seguimiento habitual y sistemático de los interesados. Si las actividades principales del responsable o del encargado consisten en el tratamiento a gran escala de categorías especiales de datos personales (salud, religión, ideología, etc.) y de datos relativos a condenas e infracciones penales.

–  Códigos de conducta y Certificaciones: a adhesión a códigos de conducta o contar con una certificación, sello o marca en protección de datos, permitirá evaluar con mayor rapidez a las empresas el nivel de protección de los datos y cumplimiento de las obligaciones sobre medidas de seguridad, en atención a las características y necesidades particulares de los distintos sectores de actividad. La adhesión a códigos de conducta o mecanismos de certificación (de carácter voluntario) será tenida en cuenta en procedimientos sancionadores a la hora de evaluar la multa

–  Comunicación de violación de la seguridad de los datos a la autoridad de control y al propio interesado.

 

Fondo: https://www.agpd.es/

 

 

 

GLOSARIO

DATOS PERSONALES Toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador online o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. (Artículo 4, apartado 1, RGPD)
ELABORACIÓN DE PERFILES Toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. (Artículo 4, apartado 4, RGPD)
ENCARGADO DE TRATAMIENTO La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. (Artículo 4, apartado 8, RGPD)
RESPONSABLE DE TRATAMIENTO La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales; cuando los fines y medios del tratamiento son establecidos por las leyes de la Unión Europea o de un Estado miembro de la UE, el responsable del tratamiento o los criterios específicos para su nombramiento, podrán ser establecidos por la legislación de la Unión Europea o del Estado miembro de la UE. (Artículo 4, apartado 7, RGPD)
TRATAMIENTO Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. (Artículo 4, apartado 2, RGPD)

 

Es inquietante que la mayoría de las empresas aún no hayan tomado las medidas necesarias para cumplir el reglamento. Según el informe de Symantec State of European Data Privacy, sobre protección de datos en la UE, un sorprendente 96 % de las empresas no sabe bien qué es el RGPD. A la gran mayoría (9 de cada 10) les preocupa si serán capaces de cumplirlo, mientras que menos de un cuarto 22 %) considera su acatamiento un tema de máxima prioridad en los próximos dos años.

Según un estudio de Compuware, el 56% de las empresas españolas no han puesto en marcha aún planes para cumplir la nueva normativa europea. Compuware añade además que lo más preocupante, según este estudio realizada a partir de entrevistas a 400 directos de sistemas de empresas de Francia, Alemania, Italia, España, Reino Unido y Estados Unidos, es que un 32% de los encuestados admite que no puede garantizar a día de hoy la localización de los datos de un cliente.


 

 

 

 

Fuente: https://www.slideshare.net/symantec/symantec-state-of-european-data-privacy

Durante los dos próximos años, hasta la entrada en vigor del Reglamento, todas las empresas van a tener que seguir cumpliendo con los postulados de la LOPD, y paralelamente, van a tener que revisar sus políticas de IT y de protección de datos, para adecuarlas de una forma paulatina al nuevo RGPD.

Dicho proceso será complejo y por ello requerirá necesariamente el asesoramiento de expertos legales. Ponemos a su disposición a nuestro equipo de especialistas del Área de IT&IP de Oliver Richart & Associates, para resolver cualquier duda que pudiera tener sobre este particular.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Comentarios de la entrada