Blog

reglamento de proteccion de datos adaptacion rgpd

CUENTA ATRÁS: EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS YA ESTÁ LLEGANDO

Lo que pretendemos en este artículo es que se consiga una visión del escenario nuevo normativo que trae el nuevo reglamento europeo de protección de datos, centrándonos en elementos clave.

Desde LOPECAM, hemos querido acercar esta nueva norma a nuestros clientes para facilitar su comprensión, aportando ideas prácticas y recomendaciones.

El nuevo reglamento europeo de protección de datos trae consigo un cambio de mentalidad: transparencia, responsabilidad activa, proactividad, actitud preventiva y reactiva y gestión de riesgos.

En caso de incumplimiento del RGPD, ¿a cuánto ascienden las multas?

El RGPD establece, optándose por la de mayor cuantía, multas administrativas (art. 83 RGPD): de hasta 20 mill EUR o  el 4 % de la facturación.save-3402476_960_720.jpg

 Pero ojo, no se trata de cumplir para evitar la sanción, sino de cumplir para fortalecer nuestra imagen corporativa y reputacional ganando ventaja competitiva dentro del mercado. Pensemos por un momento las consecuencias drásticas y negativas de Facebook tras el escándalo de hace unas semanas, el cual provocó la caída en picado en la bolsa. No sólo los gigantes tecnológicos sufren de estos males.

 Deben ser tenidas en cuenta las nuevas exigencias:

1.- DEBER DE INFORMACIÓN

El RGPD amplía la información que debe ser comunicada en el momento de recabar datos personales.

application-3399516_960_720.jpg

Con la antigua LOPD, los datos que -aún, a día de hoy- deben ser facilitados son los siguientes (art. 5 LOPD):

  • finalidad
  • destinatarios ficheros
  • obligación o no de la entrega y sus consecuencias
  • los derechos del interesado
  • la identidad del responsable

A los anteriores indicados, con el RGPD se suman los siguientes (art. 13 RGPD):

  • la base jurídica del tratamiento
  • el tiempo máximo que se mantendrán los datos
  • la identificación, si procede, del Delegado de Protección de datos
  • si habrá o no trasferencia internacional de datos
  • el derecho a presentar una reclamación
  • la existencia o no de decisiones automatizadas.

En relación con los derechos conocidos por el acrónimo ARCO, el RGPD añade el derecho de portabilidad, limitación y derecho a no someterse a la toma de decisiones automatizadas, incluyendo la elaboración de perfiles

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Guía para el cumplimiento del deber de informar.

2.- CONTRATOS DE ENCARGADO DEL TRATAMIENTO

Los Contratos de Encargados del Tratamiento, que las empresas mantienen con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con el RGPD.

El contrato tiene que constar por escrito y deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

laptop-3196481_960_720.jpg

3.- ANÁLISIS DE RIESGOs

 Las empresas deberán analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica. Para ello, se deberán buscar las medidas técnicas y organizativas correctas.

Ojo, no podremos olvidar las malas praxis de empleados con dispositivos BYOD como el pen drive o las prácticas habituales de nóminas sobre las mesas. La formación al personal y la creación de una cultura de privacidad serán esenciales para dar solución a los riesgos detectados. Respecto a las normas técnicas, hay que tener en cuenta que ya no valdrá el cifrado obsoleto al que se acudía con la antigua LOPD.

Se debe analizar continuamente y periódicamente puesto que la empresa puede cambiar sus circunstancias, por ejemplo, puede cambiar de proveedores de servicios o iniciar una ambiciosa transformación digital.

cyber-security-3410923_960_720.jpg

Los delitos informáticos están al orden del día y cada vez las plataformas tecnológicas se enfrentan a mayores retos técnicos para resolver las brechas de seguridad.

La LOPD recogía una serie de medidas de seguridad que debían ser implementadas y aplicadas por las empresas que tratasen datos personales en función del tipo de datos o de su tratamiento.

El RGPD desplaza a las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo.

Otra novedad del reglamento es la obligatoriedad de notificar las brechas de seguridad realizadas por el responsable del tratamiento (o sus trabajadores), piénsese en la pérdida de un pen drive con información sensible de clientes. El plazo para notificar a los afectados y a la AEPD será de 72 horas. Si se incumple el responsable podrá ser sancionado. Se recomienda que la consultoría externa realice un protocolo de notificación de brechas de seguridad.

Recomendación: Realizar y documentar un análisis de riesgo con profesionales informáticos internos (de vuestra empresa) o externos (como  LOPECAM). Para el seguimiento, lo más adecuado es nombrar a un responsable interno del comité de protección de datos y contratar un servicio externo de resolución de consultas concretas legales (como LOPECAM). Se recomienda que se encargue a la consultoría externa la elaboración del protocolo de notificación de brechas de seguridad.

 4.- EVALUACIÓN DE IMPACTO

Determinadas empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales. En particular, cuando sea probable que un tipo de tratamiento, sobre todo si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.

Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Esta evaluación de impacto también podrán realizarla aquellos responsables que vayan a realizar un tratamiento a gran escala u operaciones de tratamiento que entrañen un alto riesgo para las personas.

¿Qué diferencia hay entre evaluación de impacto y análisis de riesgo?

  • La evaluación de impacto se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos.
  • El análisis de riesgos analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

Recomendación: Documentar siempre un análisis de impacto en los casos en que sea obligatorio o recomendable.

connect-20333__180

  5.- DELEGADO DE PROTECCIÓN DE DATOS – DPO O DPD

 El RGPD recoge la obligación, para determinadas empresas de contar con un DPO. Algunas de estas obligadas, además de las autoridades u organismos públicos, son, generalizando los términos, las siguientes:

  • Empresas que lleven a cabo una observación habitual y sistemática de interesados.
  • Empresas que traten a gran escala categorías especiales de datos (religión, salud..etc).

control-427510_960_720

empresas que no encajen en esta clasificación pueden valorar contar con esta figura, que tendrá como funciones la gestión y el control de la protección de datos dentro de la empresa, así como actuar como punto de contacto entre esta y la AEPD.

Recomendación: Nombrar a un responsable (de la empresa) y contratar un servicio externo de resolución de consultas especializadas y para disfrutar de un servicio de seguimiento jurídico (como LOPECAM).

No Comment

0

Post A Comment