blog

Sabes si tu negocio está preparado para el Reglamento Europeo de Protección de Datos
aplicable el 25 de mayo de 2018?

RGPD

Descubre el nuevo texto normativo en ámbito de Protección de datos: el RGPD

El 25 de mayo de 2018 entra en vigor el Reglamento Europeo de Protección de Datos (RGPD) y, desde el 6 de diciembre, su adaptación al derecho español: la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). ¿Conoces los cambios que implican? ¿Adaptaste tu empresa o negocio a la nueva legislación?

18 novedades de la RGPD

El actual escenario normativo incorpora una serie de novedades y objetivos finales que deben implantarse en tus estructuras de negocio, tus operativas y procesos, y en el flujo de datos que generan. Destacan las siguientes innovaciones:

  1. Aplicación del principio de responsabilidad proactiva (Accountability). Deben aportarse evidencias del cumplimiento de las obligaciones establecidas por el RGPD, tras la adaptación de los procesos y tratamientos de datos. Dentro de una organización, no existe un departamento encargado de coordinar esta adaptación, y queda bajo la responsabilidad de la organización en su conjunto.
  2. Criterio de especialidad. Los ficheros de datos deben segmentarse cuanto sea posible (Personal, Nóminas, Prevención de riesgos laborales, currículos, etc.).
  3. Elaboración de un mapa de procesos que refleja el ciclo del dato personal. Después, debe valorarse cuáles medidas se entienden como razonables en cada una de las fases de ese mapa general. El primer paso consiste en identificar las vías de entrada de datos personales en nuestra empresa (web, formularios, recepción de currículos, etc.).
  4. No se pueden tratar los datos calificados como sensibles o protegidos, y los que se obtienen mediante la creación de perfiles, con la excepción de que les afecta alguna excepción que recoge la nueva normativa.
  5. Recomendación de crear un Documento de seguridad 4.0 que debe mantenerse actualizado. Debe acompañarlo un Registro de Actividades del tratamiento, las evidencias de cada control y las revisiones que se lleven a cabo.
  6. Privacidad desde el diseño. Cuando se inicia un nuevo proyecto (ej. vender un nuevo producto, paquete o servicio), se analiza desde su planteamiento inicial (o de diseño), cómo afectará ese proyecto a los datos personales obtenidos y tratados en el mismo. Deben constar evidencias de esos trabajos previos.
  7. Privacidad por defecto. El tratamiento de datos de usuarios se configura de la forma más cerrada posible. Principio de minimización: se solicita la menor cantidad de datos que se necesiten, y se le deja al usuario la potestad de abrirlos.
  8. El consentimiento se obtiene por un acto afirmativo claro, expreso, inequívoco e individual por finalidades. Los consentimientos tácitos obtenidos hasta la fecha pierden su validez a partir del 25 de mayo de 2018. Desde esa fecha, la obtención del consentimiento en cumplimiento del RGPD debe probarse a través de cualquier medio admitido en Derecho.
  9. Cumplimiento del deber de información. Se cumple con el contenido mínimo establecido por ley, se diferenciarán las finalidades cuando existan varias y, si surgen nuevos fines, debe cumplirse de nuevo con el deber de información. Por ejemplo, el texto se resalta sobre el resto de contenidos y, siempre que sea posible, se indica el tiempo máximo de conservación.
  10. Tres vías de legitimación en transferencias internacionales de datos: 1: consentimiento inequívoco del usuario, 2: grupos de empresas (BCR), y 3: mediante autorización de la AEPD.
  11. Responsabilidad de los encargados del tratamiento de datos. Deben revisarse los contratos ya firmados con encargados del tratamiento y ajustarlos al contenido mínimo establecido por la ley. En caso de su inminente vencimiento, los contratos se revisan cuando se prorrogan. Se recomienda valorar sobre qué ficheros somos encargados.
  12. Evaluaciones de Impacto (PIAs). Se realizarán cuando existe un alto riesgo para los derechos y libertades de los usuarios. Los procesos de tratamiento de datos se estresan hasta el límite para analizar los posibles riesgos y las medidas dirigidas a minimizarlos. Los requisitos se establecen en el art. 35.1 y 3, y los Considerando 90 y 91 del RGPD (para tratamientos que se inicien a partir del 25 de mayo de 2018). 
  13. Ampliación del concepto de dato personal. Se incluyen los datos genéticos y biométricos, o los datos profesionales, como los habituales que figuran en las tarjetas de visita.
  14. Notificación de las brechas de seguridad, en caso de que se produzcan. Es responsabilidad de la empresa comunicarlas a la AEPD (y, en su caso, a la Agencia Nacional de Ciberseguridad) en un plazo máximo de 72 horas desde su existencia. En caso de existir usuarios afectados e identificables, también se les informa. En la notificación se reflejar, tanto la brecha existente, como las medidas adoptadas.
  15. Derechos ARCO. Se observan en todo momento, y se ponen a disposición de los usuarios los derechos ARCO, el ejercicio del derecho al olvido y el derecho a la portabilidad (el usuario puede solicitar una copia exportable de sus datos). Se establece la obligación de respuesta de solicitudes en un plazo máximo de 1 mes. Si se deniega la solicitud, también debe comunicarse el motivo antes de un mes.
  16. En cualquier caso, cada entidad está obligada a demostrar el cumplimiento del RGPD ante las autoridades públicas independientes de supervisión pertenecientes a los Estados miembros de la Unión Europea.
  17. Auditorías. En cumplimiento del art. 32 RGPD, se establece la obligación regular de llevar a cabo un proceso periódico de verificación para confirmar la validez de las medidas adoptadas por la entidad en materia de protección de datos.
  18. Obligación de designar un Delegado de Protección de Datos (DPO: Data Protection Officer). La empresa debe analizar si se encuadra en algún supuesto legal que obliga a designar un DPO:
  • Cuando el tratamiento de datos lo realiza una autoridad u organismo público.
  • Cuando las actividades principales del encargado del tratamiento consisten en operaciones a gran escala que exigen un seguimiento regular y sistemático de los interesados.
  • Cuando las actividades principales del responsable consisten en el tratamiento a gran escala de categorías especiales de datos, o datos personales relacionados con condenas y delitos.

Conclusiones sobre el Reglamento Europeo de Protección de Datos

De la nueva, legislación se concluye que las entidades pueden tratar datos personales en los siguientes cuatro supuestos: 

  1. Cuando obtienen un consentimiento expreso del usuario.
  2. Cuando se necesitan para ejecutar un contrato (por ejemplo, los datos de un trabajador en el desarrollo de la relación laboral).
  3. Cuando se persigue cumplir una obligación legal.
  4. Cuando existe un interés legítimo.

Siempre que sea posible, se implantarán medidas de seguridad que garanticen la seguridad del tratamiento de datos personales conforme al RGPD, y además, deben poder demostrarse ante las entidades reguladoras.

Cuando sea posible, se intentarán desarrollar medidas, como el uso de seudónimos, el cifrado, las máximas garantías de confidencialidad, y protocolos de reacción y previsión ante incidentes relacionados con el tratamiento de datos personales (de los que la empresa se responsabiliza).

Si deseas un presupuesto personalizado y sin compromiso para adaptar tu negocio al nuevo marco legal, contacta en el siguiente enlace con OpenGes.