¿Sabes si tu negocio está preparado para el Reglamento Europeo de Protección de Datos que será plenamente aplicable el 25 de mayo de 2018?

Comienza la cuenta atrás para el nuevo texto normativo en ámbito de Protección de datos: el RGPD.

Como ya se han encargado de informarnos por multitud de canales, el próximo 25 de mayo de 2018 será plenamente aplicable el Reglamento Europeo de Protección de Datos (conocido también por las siglas “RGPD”). De esta forma, la famosa LOPD de 1999 se derogará en esa fecha en todo lo que contradiga al RGPD. Pero ¿sabemos realmente cuáles son los cambios que nos afectarán?.

El nuevo escenario normativo que conforma este innovador texto legislativo nos conduce hasta una serie de novedades y objetivos finales que desde ya deberíamos tener plenamente implantados en nuestras estructuras, procesos y flujos de datos.

Veamos algunos de ellos:

1.      Aplicación del principio de responsabilidad proactiva (Accountability).

Quizás sea la principal novedad, un cambio de enfoque y de espíritu en relación con el anterior texto: deben dejarse evidencias de que se están cumpliendo todas las obligaciones establecidas por el RGPD, tras la adaptación de los procesos y tratamientos de datos. En este punto, puede resultar interesante recordar que, dentro de una organización, no existe ningún departamento que esté normativamente designado como el encargado de coordinar esta adaptación y la marcha de los procesos, es decir, es una responsabilidad de la organización en su conjunto.

2.      En atención a un criterio de especialidad, los ficheros de datos se deberían desmembrar y segmentar todo lo que sea posible (Personal, Nóminas, Prevención de riesgos laborales, curriculums…)

3.      Se debería elaborar un mapa de procesos que refleje el ciclo del dato personal; posteriormente, se deberá valorar qué medidas se entienden razonables en cada una de las fases de ese mapa general. Por tanto, lo primero será identificar las vías de entrada de datos personales en nuestra empresa (web, formularios, recepción de CVs…).

4.      Los datos calificados como sensibles o especialmente protegidos y los obtenidos por la creación de perfiles no se pueden tratar, salvo que se vean afectados por alguna de las excepciones recogidas normativamente.

5.      Sería recomendable atender a un “Documento de seguridad 4.0” que se debería mantener siempre actualizado y llevar acompañado el Registro de Actividades del tratamiento, las evidencias de cada control y las revisiones que se lleven a cabo.

6.      Privacidad desde el diseño: cuando vaya a iniciarse un nuevo proyecto (ej. vender un nuevo producto, paquete o servicio), el mismo deberá analizarse desde su fase inicial (o de diseño), esto es, cómo afectará ese proyecto a los datos personales obtenidos y tratados en el mismo (no olvidemos dejar evidencias de ello).

7.      Privacidad por defecto: el tratamiento de datos de nuestros usuarios se deberá configurar de la forma más cerrada posible, dejándose al usuario la potestad y oportunidad de ir abriéndolos (aquí aparece de forma destacada el principio de minimización: siempre se pedirá el menor nº de datos que se necesite).

8.      El consentimiento siempre se obtendrá por un acto afirmativo claro, expreso, inequívoco e individual por finalidades. De esta forma, los consentimientos tácitos obtenidos hasta la fecha dejarán de ser válidos a partir del 25 de mayo de 2018. En este punto, debemos saber que la obtención del consentimiento en cumplimiento del RGPD podrá probarse a través de cualquier medio admitido en Derecho.

9.      De cara al cumplimiento con el deber de información, se cumplirá con el contenido mínimo establecido legalmente y se diferenciarán las finalidades cuando existan varias. Igualmente, si de repente aparecen nuevos fines, habrá que cumplir de nuevo con el deber de información. En la misma línea, el texto se intentará resaltar sobre el resto de contenidos (ej. destacando en negrita, en recuadro, etc) y, siempre que sea posible, se indicará el tiempo máximo de conservación.

10.   En las transferencias internacionales de datos, se deberán cumplir las siguientes vías de legitimación: 1º) Consentimiento inequívoco del usuario 2º) Grupos de empresas (BCR) 3º) Autorización de la AEPD.

11.   Responsabilidad de los encargados del tratamiento: se deberán revisar los contratos ya firmados con encargados del tratamiento para ajustarlos al contenido mínimo establecido normativamente (si vencen próximamente, podrán ser revisados cuando se prorroguen). Igualmente sería muy recomendable valorar sobre qué ficheros somos encargados.

12.   Evaluaciones de Impacto (PIAs):

Se realizarán cuando exista un alto riesgo para los derechos y libertades de los usuarios, es decir, en los casos y bajo los requisitos establecidos en el art. 35.1 y 3, y los Considerando 90 y 91 del RGPD (siempre para tratamientos que se inicien a partir del 25 de mayo de 2018). En ellas, los procesos se estresan y se llevan al límite para analizar los posibles riesgos en los tratamientos de datos y las medidas dirigidas a minimizar esos riesgos.

13.   Deberemos analizar si nos encontramos en alguno de los supuestos en los que se establece la obligación de designar un Delegado de Protección de Datos (DPO, por sus siglas en inglés: data protection officer):

–        cuando el tratamiento lo lleve a cabo una autoridad u organismo público;

–        cuando las actividades principales del responsable o encargado del tratamiento consistan en operaciones de tratamiento que requieran un seguimiento regular y sistemático de los interesados a gran escala;

–        y cuando las actividades principales del responsable o el encargado consistan en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos.

14.   Notificación de las brechas de seguridad: en el caso de que se produzcan, será responsabilidad de la empresa comunicárselas a la AEPD (y, en su caso, a la Agencia Nacional de Ciberseguridad) en un plazo máximo de 72 horas desde su existencia; en el caso de que existan usuarios afectados e identificables, también se le comunicará a ellos. En la notificación se reflejarán tanto la brecha existente como las medidas adoptadas.

15.   En todo momento, se observarán (y, en consecuencia, se pondrán a disposición de los usuarios) todos los derechos ARCO, así como el ejercicio del derecho al olvido y del derecho a la portabilidad (incluyendo el derecho a que un usuario pueda pedir una copia exportable de sus datos). Ante los derechos ARCO se establece la obligación de respuesta en un plazo máximo de 1 mes; si se decide no atender una solicitud de ejercicio de estos derechos, se comunicará también en un plazo máximo de 1 mes la motivación de esa no atención.

16.   En cualquier caso, cada entidad está obligada a tener que demostrar el cumplimiento del RGPD ante las autoridades públicas independientes de supervisión pertenecientes a los Estados miembros de la Unión Europea.

17.   En cumplimiento del art. 32 RGPD (Auditorías), se establece la obligación de llevar a cabo un proceso periódico de verificación regular que confirme la validez de las medidas adoptadas por la entidad.

18.   Se amplía el concepto de dato personal: además de incluirse los datos genéticos y los biométricos, no se excepcionan los datos profesionales (como podrían ser los incluidos en las habituales tarjetas de visita).

De esta forma, y a modo de colofón, podríamos concluir que nuestras entidades podrían tratar datos personales en los siguientes supuestos: 1º) cuando haya obtenido el consentimiento expreso del usuario 2º) cuando sea necesario para ejecutar un contrato (ej, los datos de un trabajador en el desarrollo de la relación laboral) 3º) cuando se persiga cumplir una obligación legal 4º) cuando exista un interés legítimo.

Así, siempre que sea posible se implantarán medidas de seguridad que garanticen y puedan demostrar que el tratamiento de datos es conforme al RGPD. De esta forma, se intentarán desarrollar medidas como la seudonimización, el cifrado (siempre que sea posible), las máximas garantías de confidencialidad, y la capacidad de reacción y previsión ante incidentes físicos o técnicos relacionados con el tratamiento de datos personales de los que seamos responsables.

Si deseas que te enviemos un presupuesto personalizado y sin compromiso para la adaptación de tu negocio al nuevo marco legal, sólo tienes que entrar en el siguiente enlace de Openges.

Leave a reply

Su dirección de correo electrónico no será publicada.