Lawditic | Preparándonos para aplicar el Reglamento de Protección de Datos
58637
post-template-default,single,single-post,postid-58637,single-format-standard,qode-core-1.0,ajax_fade,page_not_loaded,,pitch-ver-1.2, vertical_menu_with_scroll,smooth_scroll,grid_1300,blog_installed,wpb-js-composer js-comp-ver-5.4.5,vc_responsive

Preparándonos para aplicar el Reglamento de Protección de Datos

twitterlinkedinrsstwitterlinkedinrss

El 25 de mayo de 2018, el nuevo instrumento de protección de datos a escala de la UE, el Reglamento General de Protección de Datos (“RGPD” o “Reglamento”), será directamente aplicable en España y resto de Estados miembros, dos años después de su adopción y entrada en vigor.

Todas las organizaciones, empresas y profesionales que traten datos personales deben necesariamente prepararse y adaptarse a los cambios del nuevo marco jurídico.

Al sustituir por completo la actual normativa en protección de datos -Directiva 95/46/CE, transpuesta en España en la Ley Orgánica 15/1999 de Protección de Datos y su normativa de desarrollo- debe procederse a revisar todos aquellos aspectos  técnicos y organizativos que tengan impacto sobre la privacidad de las personas y la protección de datos personales, prestándose especial atención a todas aquellas novedades que el Reglamento ha incluido como, entre otros aspectos:

  • OBLIGACIONES DE INFORMACION: Al momento de facilitar datos, los usuarios deberán de ser informados de ciertos aspectos que indica la normativa. Como requisitos adicionales, además de los ya previstos en la LOPD, el RGPD incorpora los siguientes:
    • Base jurídica o de legitimación para el tratamiento de datos.
    • El plazo de tiempo máximo o criterios utilizados para conservar los datos.
    • Identificación, si aplica, del Delegado de Protección de Datos.
    • Existencia o no de decisiones automatizadas o elaboración de perfiles y la lógica involucrada, incluidas las consecuencias de la misma.
    • Si se van a realizar transferencias de datos fuera de la UE.
    • Derecho a presentar reclamación ante la AEPD.

La información debe ser presentada de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. No valen ya interminables y confusos términos y condiciones repletos de jerga jurídica.

Más información: Guía sobre el deber de informar (AEPD)

  • AMPLIACION DE DERECHOS: El RGPD actualiza los conocidos derechos ARCO, y además se incluyen nuevos derechos, los cuales se configuran de la siguiente forma: información y acceso, rectificación, supresión, limitación, portabilidad, y oposición. Además, se incluyen nuevos plazos y condicionantes para atender el ejercicio de estos derechos.

Más información: Guía del RGPD para Responsables de Tratamiento (AEPD)

  • ANÁLISIS DE RIESGOS: El nuevo enfoque jurídico-técnico del RGPD condiciona que las medidas y controles de seguridad para los datos personales deban de implantarse de acuerdo al nivel y tipo de riesgo que el tratamiento[1]

Todas las empresas deberán realizar una valoración del riesgo de los tratamientos que realicen, para saber qué medidas de responsabilidad activa aplicar o bien que medidas de seguridad y control se deben implantar. El RGPD traslada a las organizaciones la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo. El RGPD recoge las medidas de seguridad en sus artículos 25 y 32, indicando que tendrán que ser adecuadas al riesgo existente sobre los distintos tratamientos, por lo que se hará necesario que las entidades lleven a cabo un análisis de riesgo.

Más información: Guía práctica de Análisis de Riesgos (AEPD)

  • EVALUACIONES DE IMPACTO (EIPD): Si como resultado de un análisis de riesgo el tratamiento puede suponer un alto riesgo para los derechos y libertades de las personas, se deberá realizar una EIPD a fin de poder aplicar las medidas idóneas para adecuar dichos tratamientos al nuevo marco legal. Se requiere una EIPD al menos en los siguientes casos:
    • Evaluación sistemática y exhaustiva de aspectos personales de una persona, incluida la elaboración de perfiles.
    • Tratamiento a gran escala de datos sensibles.
    • Observación sistemática a gran escala de una zona pública.

Más Información: Guía práctica para las Evaluaciones de Impacto (AEPD)

  • DELEGADOS DE PROTECCIÓN DE DATOS (DPD): En virtud del RGPD, es obligatorio que algunas entidades y organizaciones designen un DPD. Así será en el caso de todas las autoridades y organismos públicos (con independencia de qué datos traten), y de otras organizaciones cuya actividad fundamental consista en la observación sistemática de personas a gran escala, o que traten categorías especiales de datos personales a gran escala.

Incluso en algunos casos en los que el RGPD no requiera específicamente el nombramiento de un DPD, las entidades y organizaciones pueden considerar de utilidad designar un DPD de manera voluntaria.

Más Información: Directrices sobre los Delegados de Protección de Datos (Grupo de Trabajo Artículo 29)

  • REGISTROS DE ACTIVIDADES: Donde se deberán indicar todas las actividades de tratamiento de datos existentes en la entidad. El contenido y requisitos de los registros está regulado en el RGPD y, entre otros aspectos, deben informar sobre la identidad y datos de contacto de la organización, finalidades del tratamiento, categorías de interesados y de datos tratados, medidas y controles de seguridad, etc. Estos registros deben estar accesibles a la autoridad de control cuando los solicite y constituyen una buena herramienta de prueba de cumplimiento del RGPD.

Hay que tener en cuenta que a partir del 25 de mayo 2018 se elimina la notificación de ficheros a la AEPD, por lo que, para facilitar la tarea de elaboración de registros de actividades a las entidades y organizaciones, la AEPD ha facilitado la herramienta online para “solicitud de la copia de inscripciones de ficheros” realizadas con anterioridad a la aplicabilidad del RGPD.

Más información: Solicitud de copia de inscripción de ficheros (AEPD)

  • RELACIONES CON ENCARGADOS DE TRATAMIENTO: Se contemplan novedades para los encargados de tratamiento, así como nuevo contenido para contratos de encargo de tratamiento (obligatorio entre proveedores de servicios-clientes con acceso a datos personales).

El RGPD contiene obligaciones expresamente dirigidas a los encargados, fuera del ámbito del contrato que los une al responsable, como puede ser el nombramiento de un DPD, la llevanza de un registro de actividades y la determinación de las medidas de seguridad aplicables a sus tratamientos. En cuanto al contenido del contrato, como mínimo deberá prever lo señalado en el RGPD, y aquellos contratos concluidos antes de mayo de 2018 deben de actualizarse respetando los nuevos requisitos indicados en el RGPD. No valen las remisiones genéricas al Reglamento.

Más Información: Directrices para la elaboración de contratos entre responsables y encargados de tratamiento  (AEPD)

El Reglamento unifica y moderniza la normativa europea sobre protección de datos, y establece un catálogo de nuevas medidas en armonía con el principio de responsabilidad proactiva que las empresas y organizaciones deben aplicar para garantizar que los tratamientos de datos cumplen con el nuevo RGPD, y que dependerán del grado de cumplimiento actual de la entidad con respecto al Reglamento.

 Por ello, antes de iniciar la adaptación es necesario primero realizar:

  •  ANALISIS DE SITUACIÓN INICIAL: Es importante determinar el “GAP” entre el estado de cumplimiento actual con respecto al RGPD. El nuevo enfoque del RGPD hace necesario que dicho análisis, que incluye auditorías de los procesos, medidas e infraestructuras IT existentes, impliquen la colaboración de equipos multidisciplinares, compuestos por consultores con perfil jurídico (abogados) y con perfil técnico (informáticos especializados en seguridad de sistemas).

Aquellas entidades que actualmente cumplen con la normativa de protección de datos española tienen un buen punto de partida para adaptarse al RGPD.

Más información: Guía del RGPD para Responsables de Tratamiento (Consulta de listados de verificación de cumplimiento).

Por último, es importante saber que se impone un marco sancionador más severo por el que las infracciones pueden llevar incluido un apercibimiento, una prohibición temporal o definitiva del tratamiento y una multa de hasta 20 millones EUR o un 4% del volumen de negocio total anual mundial.

Ahora es un buen momento para empezar a preparar la aplicación de estas nuevas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. En esta labor, las empresas y organizaciones pueden utilizar las herramientas y recursos desarrollados por la AEPD, y complementar con asesoramiento jurídico especializado en materia de protección de datos y privacidad.

Lawditic viene preparando a las empresas españolas y extranjeras para estos cambios normativos a través de su equipo multidisciplinar de consultores especializados en protección de datos y seguridad tecnológica. Contacte con nosotros para ampliar más información, recibir asesoramiento y adaptarse antes del 25 de mayo de 2018.

[1] Tratamiento: es cualquier operación que realice  una entidad sobre datos personales como la recogida, registro, organización, conservación, consulta, utilización, comunicación, limitación, supresión o destrucción.

Comparte:
Facebooktwittergoogle_pluspinterestlinkedinmailFacebooktwittergoogle_pluspinterestlinkedinmail
No Comments

Leave a Comment: