Adecuación al Reglamento General de Protección de Datos
Desde el 25 de mayo del 2018, fecha de entrada en vigor del Reglamento General de Protección de Datos (UE) del Parlamento Europeo y del Consejo, de 27 de abril de 2016, todos los sujetos obligados por el RGPD tienen que adecuar sus organizaciones al nuevo Reglamento.
Ello conlleva una serie de obligaciones nuevas que deben de estar completamente instauradas a fecha 25 de mayo de 2018, según indica el propio Reglamento en su artículo 99.
Dicho esto, su empresa debería de estar adecuada o actualizada al nuevo marco normativo en protección de datos. Si no es este su caso, sepa que se puede enfrentar a graves sanciones que pueden alcanzar, según su grado de relevancia, los 20M€ o el 4% del valor de negocio del ejercicio anterior.
Pero realmente, ¿a qué nos obliga el nuevo Reglamento General de Protección de Datos?, ¿cómo es el proceso de adecuación de la empresa al RGPD?, ¿puedo seguir recabando el consentimiento como hasta ahora?, ¿debo cambiar la política de privacidad de la web de mi empresa?, ¿qué puedo hacer si he tenido una pérdida de información?, ¿necesito un Delegado de Protección de Datos para mi empresa?
Debemos tener en cuenta los siguientes aspectos para adecuarnos correctamente según las directrices del RGPD:
- Obtención del consentimiento para el tratamiento de datos.
- Debemos valorar si el consentimiento que hemos recabado de nuestros clientes es acorde con el nuevo RGPD, en caso contrario, deberemos de recabarlo de nuevo para seguir con el tratamiento de datos. Además, a partir de ahora no valen los consentimientos tácitos, ni las casillas premarcadas. El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen.
- Deber de información.
- Debemos informar al interesado de la base legal que elijamos para el tratamiento de los datos, así deberemos informar del período de conservación de los datos, comunicar quien es el responsable del tratamiento, a quien deben dirigirse para ejercer sus derechos, los derechos que tienen, informar sobre la procedencia de los datos (de donde se han obtenido).
- Derechos de los interesados.
- Además de los ya conocidos derechos ARCO, acceso, rectificación, cancelación y oposición, el nuevo RGPD incorpora nuevos derechos como son el de limitación, portabilidad y el de supresión, conocido por el derecho al olvido.
- Registro de actividades de tratamiento.
- El artículo 30 del RGPD nos indica que cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Antes, con la LOPD, debíamos registrar en la Agencia Española de Protección de Datos nuestros ficheros de datos, con sus correspondientes niveles de seguridad. Ahora el RGPD nos obliga a realizar un registro de actividades de tratamiento, es decir, a tener relacionados todos los tratamientos y actividades que realizamos con los datos de carácter personal.
- Análisis de riesgos y evaluaciones de impacto (Privacy impact assessment).
- A fin de mantener la seguridad y evitar que el tratamiento de datos infrinja lo dispuesto en el RGPD, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. Así pues, al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales.
- Las evaluaciones de impacto (PIA) son en si mismas, procesos que ayudan a las organizaciones a identificar y minimizar los riesgos de privacidad en el tratamiento de datos de carácter personal. Para ello, el Delegado de Protección de Datos, según los riesgos detectados, así como los datos tratados, por su especial relevancia, sensibilidad y volumen de estos, quien decidirá cual o cuales de los tratamientos de datos debe tener su evaluación de impacto.
- Brechas de seguridad.
- El artículo 33 del RGPD nos indica que en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55, sin dilación indebida y de ser posible, a mas tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y libertades de las personas físicas.
- Medidas de seguridad.
- A diferencia con la LOPD donde había que declarar los ficheros y aplicarle unas medidas de seguridad según los tipos de datos, con el RGPD nos indica que será el Responsable y el Encargado del tratamiento los que tomarán medidas técnicas y organizativas para garantizar la seguridad del tratamiento de datos personales.
- Delegado de Protección de Datos (DPD o sus siglas en inglés DPO, Data Protection Officer)
- Nueva figura en nuestro marco normativo en protección de datos según los supuestos que el RGPD establece, teniendo carácter obligatorio en determinados supuestos.
- Entre sus funciones están:
- informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de datos.
- supervisar el cumplimiento de los dispuesto en el RGPD y otras disposiciones de protección de datos de la UE y estados miembros.
- ofrecer asesoramiento que se le solicite acerca de la evaluación de impacto.
- cooperar con la autoridad de control
- desempeñará sus funciones prestando atención especial a los riesgos asociados a las operaciones de tratamiento.
- El responsable y el encargado del tratamiento designarán un DPD siempre que:
- el tratamiento lo lleve a cabo una autoridad u organismo público, excepto tribunales que actúen en ejercicio de su función judicial.
- cuando las actividades principales del responsable o del encargado insistan en operaciones de tratamiento, que en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
- las actividades principales del responsable y encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y a datos relativos a condenas e infracciones penales.
En M.A. PIEDRA-ABOGADOS llevamos años trabajando en la Protección de Datos, asesorando y formando a diferentes entidades de la Provincia, transmitiendo el conocimiento para que su empresa pueda afrontar con seguridad cualquier tipo de incidente en protección de datos.
Si tiene dudas sobre si su empresa está adaptada al nuevo RGPD, no lo dude, puede contactar con nosotros para que estudiemos su caso concreto. Cada empresa tiene sus características propias, lo que obliga a un estudio particular y detallado en protección de datos, ya que son muchos los aspectos a controlar. (Delegado de Protección de Datos, Análisis de riesgos, Evaluaciones de impacto, etc.).
Llámenos al 651515688, o envíe un email a, consultas@mapiedra-abogados.es, indicándonos sus datos para ponernos en contacto con usted, no se arrepentirá.