Adaptación al Reglamento Europeo de Protección de Datos. Comienza la cuenta atrás
|
Escuchar este artículo ahora
Getting your Trinity Audio player ready...
|
Comienza la cuenta atrás para que sea de plena aplicación el Reglamento Europeo de Protección de Datos (RGPD). El 25 de mayo está ya al caer. Para los que aún anden despistados con este asunto, recordemos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, entró en vigor el 25 de mayo de 2016, pero será de plena aplicación a partir del 25 de mayo de 2018.
Índice de Contenidos
- 1 Reglamento Europeo de Protección de Datos
- 2 Hoja de ruta de la Agencia Española de Protección de Datos
- 2.1 Delegado de Protección de Datos
- 2.2 Registro de Actividades de Tratamiento
- 2.3 Análisis de Riesgos
- 2.4 Medidas de Seguridad
- 2.5 Notificación de Quiebras de Seguridad
- 2.6 Evaluación de Impacto
- 2.7 Formularios de Derecho de Información
- 2.8 Ejercicio de Derechos
- 2.9 Garantías de los Encargados
- 2.10 Política de Privacidad
Reglamento Europeo de Protección de Datos
A estas alturas aún está en el congreso la nueva Ley Orgánica de Protección de Datos que sustituirá a la actual, no obstante, siendo el reglamento de aplicación directa habrá que cumplirlo, la nueva ley orgánica no lo va a modificar, sólo aclarará algunos puntos ahora algo oscuros o que plantean dudas.
Por lo tanto, habrá que preguntarse, a falta de poco de menos de un mes de la plena aplicación del RGPD, ¿en qué punto de adaptación está mi empresa?
La Agencia Española de Protección de datos (AEPD) tiene publicada en su página web una hoja de ruta sobre cómo adaptarse al Reglamento, donde se especifican las diferentes tareas a realizar. En este artículo vamos a hacernos eco de ésta para aquellos que no la conocían.
Hoja de ruta de la Agencia Española de Protección de Datos
Estos son los pasos a seguir de acuerdo con la hoja de ruta de la AEPD:
Detallamos en este artículo los 10 puntos de la Hoja de Ruta que ha publicado la Agencia Española de Protección de datos (AEPD) para la adaptación al nuevo Reglamento Europeo. Share on XDelegado de Protección de Datos
Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD) si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, identificar a la/s persona/s responsables de COORDINAR LA ADAPTACIÓN.
Sobre cuándo es necesario o no designar un delegado de protección nos remitimos a nuestro artículo sobre esta figura publicado en nuestra Web.
Registro de Actividades de Tratamiento
Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO, teniendo en cuenta su finalidad y la base jurídica.
Hasta ahora el responsable del fichero debía de inscribir sus ficheros con datos personales en el Registro de la AEPD, esa obligación desaparece, lo que ahora debe hacer el responsable del Tratamiento es elaborar un registro de actividades de tratamiento que deberá mantener actualizado.
Según el RGPD no siempre es obligatorio mantener este registro, las organizaciones que empleen a menos de 250 trabajadores están exentas, salvo que el tratamiento que realicen pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales. Nosotros recomendamos que siempre se elabore el Registro de Actividades de Tratamiento.
Análisis de Riesgos
Realizar un ANÁLISIS DE RIESGOS. Se trata de ver las amenazas y riesgos que pueden afectar a los tratamientos que realizamos, de esta forma podemos decidir qué medidas se deben aplicar para minorar el mismo, recordar que el Reglamento exige una actitud proactiva de los responsables y encargados del tratamiento.
Medidas de Seguridad
Revisar las MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos. Consecuencia de lo anterior, siempre habrá que llevar a cabo un análisis de riesgo, es la única forma de saber si las medidas que aplicamos son las adecuadas.
La ley orgánica de protección establecía un listado de medidas de seguridad, el RGPD deja en manos de encargados y responsables la decisión de las medidas que considere necesarias para garantizar la integridad, disponibilidad y confidencialidad de los datos.
Notificación de Quiebras de Seguridad
Establecer mecanismos y procedimientos de NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD. El RGPD establece, como novedad, que cuando se produzca una violación de la seguridad de los datos hay que notificarlo a la AEPD, salvo que sea poco probable que está afecte a los derechos y libertades de los afectados.
El responsable tendrá que documentar la violación de seguridad y en algunos casos, cuando esta suponga un alto riesgo para los derechos y libertades de los interesados habrá que notificarles a ellos también.
Evaluación de Impacto
A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS. En algunos casos habrá que llevar a cabo una evaluación del impacto que puede suponer el tratamiento de datos personales.
Al mismo tiempo que lo anterior, la hoja de ruta de adaptación al RGPD debe incluir también los siguientes puntos:
Formularios de Derecho de Información
Adecuar los FORMULARIOS de derecho de información. El RGPD establece la obligación de informar al interesado sobre determinadas circunstancias del tratamiento, finalidad, base legal en la que se apoya el tratamiento, datos del responsable, tiempo de conservación, posibles cesiones y transferencias de datos, derechos y procedimientos para su ejercicio.
No hay que olvidarse de revisar la forma de obtención del consentimiento en aquellos tratamientos basados en el mismo, pues el RGPD exige un consentimiento inequívoco, sin que sea válido el consentimiento obtenido por omisión.
Ejercicio de Derechos
Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de Derechos. Se debe facilitar el ejercicio de sus derechos a los interesados, siendo este por regla general gratuito.
Garantías de los Encargados
Valorar si los ENCARGADOS ofrecen garantías y adaptación de contratos. No sólo hay que adaptar al RGPD los contratos con los encargados del tratamiento, además hay asegurarse de que los encargados ofrecen garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los principios del tratamiento.
Para acreditar ello los encargados pueden adherirse a códigos de conducta o certificarse ante entidades acreditadas.
Política de Privacidad
Elaborar / Adaptar POLÍTICA DE PRIVACIDAD. Hay que adaptar la forma en que la empresa y todos sus empleados tratan los datos, debiendo ser esta conforme al RGPD.
