Protección de datos existe desde hace tiempo (de hecho, la famosa y vigente “LOPD” rige desde 1999, y tuvo una predecesora en 1992), por lo que la obligación de cumplir ciertas obligaciones en el manejo de datos no es novedosa. El caso es que el marco normativo en esta materia va a experimentar un cambio sustancial en 2018, con el inicio de aplicación del conocido como Reglamento General de Protección de Datos (Reglamento UE 2016/679 o “RGPD”). El RGPD cambia las reglas de juego en protección de datos, y debe cumplirse a partir del 25 de mayo de 2018. Por tanto, nuestra invitación a “ponerse las pilas en protección de datos” se dirige tanto a quienes no hayan hecho nada hasta ahora (es decir, que tampoco cumplen la LOPD a día de hoy), como a los que sí que la implantaron en su día, pero que ahora deben adaptarse a los cambios que conlleva el nuevo Reglamento. El tiempo es oro y los pocos meses que quedan hasta el 25/05/2018 pasarán volando, así que: ¡no hay tiempo que perder! A continuación, os damos unas orientaciones básicas para conocer cómo afrontar la tarea de implantar la normativa de protección de datos, en base al RGPD.
¿ME AFECTA A MÍ LA PROTECCIÓN DE DATOS?
La respuesta es sencilla: toda entidad, autónomo, profesional u organización que maneje datos de personas físicas para desarrollar su actividad (ej.: de empleados, de clientes, de proveedores, de usuarios de la página web…), tiene obligación de cumplir la normativa. A partir de ahí, variables como el tipo y volumen de datos que trate, los medios que utilice para ello y las conexiones con terceros, determinarán el mayor o menor alcance de las obligaciones a cumplir.
¿QUÉ CAMBIA CON EL NUEVO REGLAMENTO?
De entrada, el RGPD promueve un cambio en el enfoque con el que las empresas deben abordar el cumplimiento de la normativa. Se acabó lo de inscribir Ficheros, tener un Documento de seguridad estándar, casi siempre desactualizado (en muchos casos, olvidado en algún cajón), y poco más. En adelante, se espera de las organizaciones que integren los principios de protección de datos en su negocio de manera proactiva, adoptando medidas técnicas y organizativas eficaces para garantizar los derechos de los interesados, todo ello en el marco de un proceso de mejora continua. Este nuevo enfoque lo representa el denominado principio de responsabilidad proactiva, por el cual no sólo deben cumplirse los principios y obligaciones reguladas sino, además, estar en disposición de demostrar dicho cumplimiento. Por tanto, las empresas van a tener que documentar todos sus procesos que incluyan tratamiento de datos y poner en práctica medidas eficaces que cumplan los principios relativos al tratamiento de datos, y eviten la destrucción, pérdida o el acceso no autorizado a los mismos.
¿QUÉ OBLIGACIONES CONCRETAS ESTABLECE EL RGPD?
Aunque no todas las obligaciones son aplicables a todas las organizaciones, subrayamos a continuación las principales:
- aplicar los principios relativos al tratamiento de los datos; es decir, reglas que indican cómo tratar los datos (ej.: minimización de datos, limitación de la finalidad, confidencialidad…)
- revisar e identificar las bases jurídicas que legitimen cada uno de los tratamientos de datos realizados (ej.: el consentimiento, la ejecución de un contrato…)
- cumplir con el deber de información al interesado en relación al uso de sus datos
- atender las solicitudes de los interesados en ejercicio de sus derechos
- elaborar un registro de actividades de tratamiento
- evaluar los riesgos de los tratamientos de datos y adoptar medidas de seguridad adecuadas al nivel de riesgo
- adoptar procedimientos de gestión y notificación de brechas de seguridad
- antes de iniciar un nuevo tratamiento, aplicar medidas que permitan integrar, desde el diseño y por defecto, los principios de protección de datos
- formalizar contratos con los proveedores externos que accedan a nuestros datos (encargados del tratamiento), tras evaluar si ofrecen garantías de cumplir la normativa
- en caso de prever tratamientos de alto riesgo, llevar a cabo evaluaciones de impacto
- nombrar un delegado de protección de datos en los casos que proceda (alto riesgo)
¿CÓMO HAGO TODO ESTO?
Bien, si te planteas esta pregunta es que ya estás más decidido a coger el toro por los cuernos ;). Como siempre digo, no hay 2 empresas iguales, por lo que debe hacerse un traje a medida adaptado a las circunstancias particulares de cada entidad. No obstante, algunos pasos serán comunes a todas ellas:
1.INVENTARIAR
La primera tarea y fundamental es inventariar todos los tratamientos de datos de la organización. Es decir, habrá que hacer un trabajo de hormiguita para identificar todos los procesos en los que utilicemos datos personales y sus características (tipos de datos tratados, colectivos de personas afectadas, finalidades, fuente de los datos, flujo de los datos, previsión de cesiones y transferencias, sistemas de información involucrados, etc.).
2.ELABORAR EL REGISTRO
Una vez realizado el “trabajo de campo” ya estaremos en disposición de elaborar el Registro de actividades de tratamiento. Además, dicho inventario de tratamientos nos permitirá determinar cuáles de las medidas de responsabilidad proactiva previstas en el RGPD son aplicables a nuestra empresa.
3.MEDIDAS DE SEGURIDAD
En todo caso, deberán implantarse medidas de seguridad adecuadas al riesgo de los tratamientos de la empresa, para lo cual deberán evaluarse primero los riesgos de dichos tratamientos. Parte de las medidas a implantar serán de índole técnica (cifrado de datos, copias de seguridad, uso de contraseñas, antivirus y cortafuegos…), y otras de tipo organizativo (procedimiento de gestión de incidencias, de atención de derechos, compromisos de confidencialidad, formación del personal…).
4. ADAPTACIÓN DE ELEMENTOS
También deberán abordarse los ajustes y revisiones necesarias en aplicación de los principios y derechos previstos en el Reglamento, lo que incluirá: revisar/adaptar los formularios de recogida de datos, revisar los documentos para obtener el consentimiento inequívoco del interesado, modificar las leyendas informativas y políticas de privacidad, redactar/actualizar los contratos con encargados del tratamiento, etc.
5. IMPLANTAR PROCEDIMIENTOS
Por último, en función del tipo y tamaño de la empresa habrá que implantar procedimientos efectivos, como mínimo en relación a:
- gestión y notificación de brechas de seguridad
- respuesta ante el ejercicio de derechos de los interesados
- garantizar el cumplimiento del deber de información a los interesados
- aplicación de los principios de privacidad desde el diseño y por defecto
- planificar revisiones periódicas del cumplimiento del RGPD
ALGUNOS CONSEJOS
Para abordar este proceso con garantías, os damos unas pocas recomendaciones:
- No pretendas adecuarte a la normativa en dos tardes. Esta es una tarea que debe abordarse como un proceso, que exige tiempo y recursos, además de conocimientos.
- Si no te ves con conocimientos para hacerlo tu sol@, busca asesoramiento, consulta con nosotros ya que estamos elaborando la RGPD a todos nuestros clientes. Puedes contactar con nosotros por teléfono, email o desde el formulario de contacto.
- Cuando hayas culminado el proceso y puesto en marcha todas las medidas, empieza la segunda fase que consiste en mantenerlo al día, de manera que la evolución de la empresa y de sus procesos no implique un incumplimiento sobrevenido de la normativa. Recuerda que la empresa debe ser proactiva y ser capaz de demostrar documentalmente su nivel de cumplimiento.
- Para estar tranquilo de cumplir con las obligaciones legales de tu negocio hemos habilitado el siguiente formulario de solicitud de adaptación a la RGPD, donde nosotros nos encargamos de tramitar la documentación necesaria y de preparar tu página web para que cumpla correctamente con la RGPD.
Fuente: atptips.com
Te dejo otro artículo en el que te explicamos más acerca del nuevo reglamento: https://www.f2sc.com/2018/04/26/como-afecta-la-nueva-ley-rgpd-a-una-pagina-o-blog-en-wordpress
