Ahora va en serio: el RGPD cambia mucho y debes adaptarte

Afrontamos ya lla recta final de cara a Junio para afrontar la “adecuación a la normativa de protección de datos RGPD “. ¿Y por qué ahora especialmente? ¿es que no es algo obligatorio desde hace años? Empezando por lo segundo, en efecto, la normativa de protección de datos existe desde hace tiempo (de hecho, la famosa y vigente “LOPD” rige desde 1999, y tuvo una predecesora en 1992), por lo que la obligación de cumplir ciertas obligaciones en el manejo de datos no es novedosa. El caso es que el marco normativo en esta materia va a experimentar un cambio sustancial en 2018, con el inicio de aplicación del conocido como Reglamento General de Protección de Datos (Reglamento UE 2016/679 o “RGPD”). El RGPD cambia las reglas de juego en protección de datos, y debe cumplirse a partir del 25 de mayo de 2018. Por tanto, nuestra invitación a “ponerse las pilas en protección de datos” se dirige tanto a quienes no hayan hecho nada hasta ahora (es decir, que tampoco cumplen la LOPD a día de hoy), como a los que sí que la implantaron en su día, pero que ahora deben adaptarse a los cambios que conlleva el nuevo Reglamento. El tiempo es oro y los pocos meses que quedan hasta el 25/05/2018 pasarán volando, así que: ¡no hay tiempo que perder! A continuación, os damos unas orientaciones básicas para conocer cómo afrontar la tarea de implantar la normativa de protección de datos, en base al RGPD.

¿ME AFECTA A MÍ LA PROTECCIÓN DE DATOS?

La respuesta es sencilla: toda entidad, autónomo, profesional u organización que maneje datos de personas físicas para desarrollar su actividad (ej.: de empleados, de clientes, de proveedores, de usuarios de la página web…), tiene obligación de cumplir la normativa. A partir de ahí, variables como el tipo y volumen de datos que trate, los medios que utilice para ello y las conexiones con terceros, determinarán el mayor o menor alcance de las obligaciones a cumplir.

¿QUÉ CAMBIA CON EL NUEVO REGLAMENTO?

De entrada, el RGPD promueve un cambio en el enfoque con el que las empresas deben abordar el cumplimiento de la normativa. Se acabó lo de inscribir Ficheros, tener un Documento de seguridad estándar, casi siempre desactualizado (en muchos casos, olvidado en algún cajón), y poco más. En adelante, se espera de las organizaciones que integren los principios de protección de datos en su negocio de manera proactiva, adoptando medidas técnicas y organizativas eficaces para garantizar los derechos de los interesados, todo ello en el marco de un proceso de mejora continua. Este nuevo enfoque lo representa el denominado principio de responsabilidad proactiva, por el cual no sólo deben cumplirse los principios y obligaciones reguladas sino, además, estar en disposición de demostrar dicho cumplimiento. Por tanto, las empresas van a tener que documentar todos sus procesos que incluyan tratamiento de datos y poner en práctica medidas eficaces que cumplan los principios relativos al tratamiento de datos, y eviten la destrucción, pérdida o el acceso no autorizado a los mismos.

¿QUÉ OBLIGACIONES CONCRETAS ESTABLECE EL RGPD?

Aunque no todas las obligaciones son aplicables a todas las organizaciones, subrayamos a continuación las principales:

  • aplicar los principios relativos al tratamiento de los datos; es decir, reglas que indican cómo tratar los datos (ej.: minimización de datos, limitación de la finalidad, confidencialidad…)
  • revisar e identificar las bases jurídicas que legitimen cada uno de los tratamientos de datos realizados (ej.: el consentimiento, la ejecución de un contrato…)
  • cumplir con el deber de información al interesado en relación al uso de sus datos
  • atender las solicitudes de los interesados en ejercicio de sus derechos
  • elaborar un registro de actividades de tratamiento
  • evaluar los riesgos de los tratamientos de datos y adoptar medidas de seguridad adecuadas al nivel de riesgo
  • adoptar procedimientos de gestión y notificación de brechas de seguridad
  • antes de iniciar un nuevo tratamiento, aplicar medidas que permitan integrar, desde el diseño y por defecto, los principios de protección de datos
  • formalizar contratos con los proveedores externos que accedan a nuestros datos (encargados del tratamiento), tras evaluar si ofrecen garantías de cumplir la normativa
  • en caso de prever tratamientos de alto riesgo, llevar a cabo evaluaciones de impacto
  • nombrar un delegado de protección de datos en los casos que proceda (alto riesgo)

¿CÓMO HAGO TODO ESTO?

Bien, si te planteas esta pregunta es que ya estás más decidido a coger el toro por los cuernos ;). Como siempre digo, no hay 2 empresas iguales, por lo que debe hacerse un traje a medida adaptado a las circunstancias particulares de cada entidad. No obstante, algunos pasos serán comunes a todas ellas:

1.Inventariar

La primera tarea y fundamental es inventariar todos los tratamientos de datos de la organización. Es decir, habrá que hacer un trabajo de hormiguita para identificar todos los procesos en los que utilicemos datos personales y sus características (tipos de datos tratados, colectivos de personas afectadas, finalidades, fuente de los datos, flujo de los datos, previsión de cesiones y transferencias, sistemas de información involucrados, etc.).

2.Elaborar el Registro

Una vez realizado el “trabajo de campo” ya estaremos en disposición de elaborar el Registro de actividades de tratamiento. Además, dicho inventario de tratamientos nos permitirá determinar cuáles de las medidas de responsabilidad proactiva previstas en el RGPD son aplicables a nuestra empresa.

3.Medidas de seguridad

En todo caso, deberán implantarse medidas de seguridad adecuadas al riesgo de los tratamientos de la empresa, para lo cual deberán evaluarse primero los riesgos de dichos tratamientos. Parte de las medidas a implantar serán de índole técnica (cifrado de datos, copias de seguridad, uso de contraseñas, antivirus y cortafuegos…), y otras de tipo organizativo (procedimiento de gestión de incidencias, de atención de derechos, compromisos de confidencialidad, formación del personal…).

4. Adaptación de elementos

También deberán abordarse los ajustes y revisiones necesarias en aplicación de los principios y derechos previstos en el Reglamento, lo que incluirá: revisar/adaptar los formularios de recogida de datos, revisar los documentos para obtener el consentimiento inequívoco del interesado, modificar las leyendas informativas y políticas de privacidad, redactar/actualizar los contratos con encargados del tratamiento, etc.

5. Implantar procedimientos

Por último, en función del tipo y tamaño de la empresa habrá que implantar procedimientos efectivos, como mínimo en relación a:

  1. gestión y notificación de brechas de seguridad
  2. respuesta ante el ejercicio de derechos de los interesados
  3. garantizar el cumplimiento del deber de información a los interesados
  4. aplicación de los principios de privacidad desde el diseño y por defecto
  5. planificar revisiones periódicas del cumplimiento del RGPD

ALGUNOS CONSEJOS

Para abordar este proceso con garantías, os damos unas pocas recomendaciones:

  1. No pretendas adecuarte a la normativa en dos tardes. Esta es una tarea que debe abordarse como un proceso, que exige tiempo y recursos, además de conocimientos.
  1. Si no cuentas en la empresa con un perfil adecuado para afrontar esta tarea, busca asesoramiento externo, pero cuidado: las soluciones “low cost” que ofrece el mercado también son “low quality”, así que es preferible contratar a un especialista del que consigas buenas referencias y que te haga un trabajo personalizado. Si es un buen profesional, te hará un presupuesto ajustado a tus necesidades, sin salirse del tiesto.
  1. Aunque tengas ayuda externa, no te equivoques: el cumplimiento de la normativa no es algo que puedas externalizar, ni que el asesor vaya a realizar por ti. Sin implicación de la organización (empezando por sus gestores y continuando por sus trabajadores con acceso a datos), cualquier intento de implantación está condenado al fracaso. De hecho, conviene asignar a una persona de la empresa la labor de coordinar la aplicación de las medidas y procedimientos que se elaboren, y que sea la correa de transmisión entre el asesor y la organización.
  1. Cuando hayas culminado el proceso y puesto en marcha todas las medidas, empieza la segunda fase que consiste en mantenerlo al día, de manera que la evolución de la empresa y de sus procesos no implique un incumplimiento sobrevenido de la normativa. Recuerda que la empresa debe ser proactiva y ser capaz de demostrar documentalmente su nivel de cumplimiento.

Respondemos todas tus dudas sobre RGPD

Los meses que faltan hasta el 25/05/2018 son la oportunidad para ponerse sin demora a la tarea, para llegar con los deberes hechos al minuto 0 que comienza ese día. ¡Así que, ánimo, se puede!

Por último, si no he hablado de sanciones es porque no soy partidario del mensaje del miedo. Es suficiente con que sepas que las multas son muy severas y que basta con que alguien descontento te denuncie para sufrir un expediente.

Lo dicho, 2018 es el momento para ponerse al día en protección de datos. Aprovecha, ponte al día y contacta con nosotros si quieres que te ayudemos o tienes cualquier duda.

Este sitio web utiliza cookies propias y de terceros con el fin de obtener información estadística sobre la base de los datos de navegación de los visitantes. Si continúas navegando entendemos que aceptas su uso y, en caso de no aceptar su instalación, deberás visitar el apartado de Política de Cookies , donde encontrarás la forma de eliminarlas o rechazarlas. ACEPTAR
Aviso de cookies