Reglamento Europeo de Protección de Datos | Melián Abogados

Adaptación al Reglamento Europeo de Protección de Datos. Comienza la cuenta atrás

Adaptación al Reglamento Europeo de Protección de Datos. Comienza la cuenta atrás
5 (100%) 5 votos

Comienza la cuenta atrás para que sea de plena aplicación el Reglamento Europeo de Protección de Datos (RGPD). El 25 de mayo está ya al caer. Para los que aún anden despistados con este asunto, recordemos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, entró en vigor el 25 de mayo de 2016, pero será de plena aplicación a partir del 25 de mayo de 2018.

 

 

Reglamento Europeo de Protección de Datos

A estas alturas aún está en el congreso la nueva Ley Orgánica de Protección de Datos que sustituirá a la actual, no obstante, siendo el reglamento de aplicación directa habrá que cumplirlo, la nueva ley orgánica no lo va a modificar, sólo aclarará algunos puntos ahora algo oscuros o que plantean dudas.

Por lo tanto, habrá que preguntarse, a falta de poco de menos de un mes de la plena aplicación del RGPD, ¿en qué punto de adaptación está mi empresa?

La Agencia Española de Protección de datos (AEPD) tiene publicada en su página web una hoja de ruta sobre cómo adaptarse al Reglamento, donde se especifican las diferentes tareas a realizar. En este artículo vamos a hacernos eco de ésta para aquellos que no la conocían.

Hoja de ruta de la Agencia Española de Protección de Datos

Estos son los pasos a seguir de acuerdo con la hoja de ruta de la AEPD:

Detallamos en este artículo los 10 puntos de la Hoja de Ruta que ha publicado la Agencia Española de Protección de datos (AEPD) para la adaptación al nuevo Reglamento Europeo. Clic para tuitear

Delegado de Protección de Datos

Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD) si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, identificar a la/s persona/s responsables de COORDINAR LA ADAPTACIÓN.

Sobre cuándo es necesario o no designar un delegado de protección nos remitimos a nuestro artículo sobre esta figura publicado en nuestra Web.

Registro de Actividades de Tratamiento

Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO, teniendo en cuenta su finalidad y la base jurídica.

Hasta ahora el responsable del fichero debía de inscribir sus ficheros con datos personales en el Registro de la AEPD, esa obligación desaparece, lo que ahora debe hacer el responsable del Tratamiento es elaborar un registro de actividades de tratamiento que deberá mantener actualizado.

Según el RGPD no siempre es obligatorio mantener este registro, las organizaciones que empleen a menos de 250 trabajadores están exentas, salvo que el tratamiento que realicen pueda suponer un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales. Nosotros recomendamos que siempre se elabore el Registro de Actividades de Tratamiento.

Análisis de Riesgos

Realizar un ANÁLISIS DE RIESGOS. Se trata de ver las amenazas y riesgos que pueden afectar a los tratamientos que realizamos, de esta forma podemos decidir qué medidas se deben aplicar para minorar el mismo, recordar que el Reglamento exige una actitud proactiva de los responsables y encargados del tratamiento.

Medidas de Seguridad

Revisar las MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos. Consecuencia de lo anterior, siempre habrá que llevar a cabo un análisis de riesgo, es la única forma de saber si las medidas que aplicamos son las adecuadas.

La ley orgánica de protección establecía un listado de medidas de seguridad, el RGPD deja en manos de encargados y responsables la decisión de las medidas que considere necesarias para garantizar la integridad, disponibilidad y confidencialidad de los datos.

Notificación de Quiebras de Seguridad

Establecer mecanismos y procedimientos de NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD. El RGPD establece, como novedad, que cuando se produzca una violación de la seguridad de los datos hay que notificarlo a la AEPD, salvo que sea poco probable que está afecte a los derechos y libertades de los afectados.

El responsable tendrá que documentar la violación de seguridad y en algunos casos, cuando esta suponga un alto riesgo para los derechos y libertades de los interesados habrá que notificarles a ellos también.

Evaluación de Impacto

A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS. En algunos casos habrá que llevar a cabo una evaluación del impacto que puede suponer el tratamiento de datos personales.

 

Al mismo tiempo que lo anterior, la hoja de ruta de adaptación al RGPD debe incluir también los siguientes puntos:

Formularios de Derecho de Información

Adecuar los FORMULARIOS de derecho de información. El RGPD establece la obligación de informar al interesado sobre determinadas circunstancias del tratamiento, finalidad, base legal en la que se apoya el tratamiento, datos del responsable, tiempo de conservación, posibles cesiones y transferencias de datos, derechos y procedimientos para su ejercicio.

No hay que olvidarse de revisar la forma de obtención del consentimiento en aquellos tratamientos basados en el mismo, pues el RGPD exige un consentimiento inequívoco, sin que sea válido el consentimiento obtenido por omisión.

Ejercicio de Derechos

Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de Derechos. Se debe facilitar el ejercicio de sus derechos a los interesados, siendo este por regla general gratuito.

Garantías de los Encargados

Valorar si los ENCARGADOS ofrecen garantías y adaptación de contratos. No sólo hay que adaptar al RGPD los contratos con los encargados del tratamiento, además hay asegurarse de que los encargados ofrecen garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los principios del tratamiento.

Para acreditar ello los encargados pueden adherirse a códigos de conducta o certificarse ante entidades acreditadas.

Política de Privacidad

Elaborar / Adaptar POLÍTICA DE PRIVACIDAD. Hay que adaptar la forma en que la empresa y todos sus empleados tratan los datos, debiendo ser esta conforme al RGPD.


¿Te ha gustado el artículo?

Por favor, Vota con las estrellitas amarillas que están al comienzo ↑

Contenido Relacionado



The following two tabs change content below.
Socio en el despacho profesional “Melián Abogados”. Con más de 25 años de ejercicio de la profesión de abogado. Es el Director del Área de Derecho Civil, en el cual además es responsable de asuntos relativos a reclamación de impagados, arrendamientos, propiedad horizontal, divorcios y separación, así como obligaciones y contratos. Además es experto en Protección de Datos Personales. Colaborador habitual en diversos medios de comunicación en relación con su especialidad y autor de un gran número de artículos de divulgación jurídico-civil.