La versión de su navegador no está debidamente actualizada. Le recomendamos actualizarla a la versión más reciente.

Para cumplir con el Reglamentoen lasPymes, deben ser tenidas en cuenta las nuevas exigencias.

Publicado 08/04/2018

Con la entrada en vigor el 25 de Mayo de 2018 del REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DE LA UE (GDPR), vamos a intentar resumir de forma concisa, aquellos aspectos más relevantes,  que la diferencian de la anterior Ley de protección de datos, ya anticuada.

1.- Análisis de protección de datos legal y seguridad informática.

Mediante la auditoría se verifica la correcta implantación de las medidas de seguridad a adoptar en la organización, determinadas en función del nivel que le corresponda: bajo, medio u alto. El equipo auditor debe estar formado por profesionales del ámbito jurídico e informático. El RGPD, en su artículo 25, determina qué tipo de medidas técnicas y organizativas se deben implementar, retirando el listado tradicional de la LOPD e imponiendo uno que debe ser creado de forma personalizada para cada empresa.

El informe de auditoría es obligatorio para todas aquellas organizaciones que, por el tipo de datos que almacenan, tienen un nivel de seguridad medio o alto. Para ayudar a cumplir mejor el RGPD, la AEPD ha publicado este documento: “Guía del Reglamento General de Protección de Datos para responsables de tratamiento”.

2.- Deber de información

El RGPD amplía la información que debe ser comunicada en el momento de recabar datos personales. Con la antigua LOPD, los datos que deben ser facilitados son los siguientes (art. 5 LOPD):

  1. Finalidad
  2. Destinatarios ficheros
  3. Obligación o no de la entrega y sus consecuencias
  4. Los derechos del interesado
  5. La identidad del responsable

A los anteriores indicados, con el RGPD se suman los siguientes (art. 13 RGPD):

  1. La base jurídica del tratamiento
  2. El tiempo máximo que se mantendrán los datos
  3. La identificación, si procede, del Delegado de Protección de datos
  4. Si habrá o no trasferencia internacional de datos
  5. El derecho a presentar una reclamación
  6. La existencia o no de decisiones automatizadas.

En relación con los derechos conocidos por el acrónimo ARCO, el RGPD los cambia y actualiza. Los nuevos ARCO, sobre los que hay que informar, ahora son los derechos siguientes: acceso, rectificación, supresión, limitación, portabilidad, y oposición. Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: “Guía para el cumplimiento del deber de informar”.

A continuación, editar primero los avisos de privacidad de la web de la empresa para adaptarlos al RGPD con el fin de adquirir soltura. De esta forma, al incluirlos en contratos y formularios se hará de forma más natural.

3.- Contratos de Encargado del Tratamiento

Los Contratos de Encargados del Tratamiento, que las empresas mantienen con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con el RGPD.

El contrato tiene que constar por escrito y deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: “Directrices para la elaboración de contratos entre responsables y encargados del tratamiento”.

4.- Análisis de riesgo

Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse las medidas de seguridad avanzadas. El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad.

El RGPD desplaza a las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo. Los artículos 25 y 32 del RGPD recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos ficheros, por lo que se hará necesario que las empresas lleven a cabo un análisis de riesgo.

Para ayudar a entender qué tipos de empresas están obligadas a cifrar en España, Abanlex y ESET han publicado este documento: “Guía sobre el Reglamento General de Protección de Datos”.

5.- Evaluación de impacto

La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos; mientras que la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques. Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

6.- Delegado de Protección de Datos – DPO o DPD

El DPO será designado “atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones” indicadas en el RGPD, según el artículo 35 del RGPD.

El RGPD recoge la obligación, para determinadas empresas de contar con un DPO.  Por ello, es necesario nombrar a un responsable interno y contratar un servicio externo de resolución de consultas especializadas y para disfrutar de un servicio de seguimiento jurídico.

El nuevo RGPD de mayo de 2018, obligará a las empresas a valorar los riesgos producidos por el uso de datos personales, y a invertir en medidas de seguridad y procesos de verificación para cumplir con la normativa. Aún hay tiempo para auditar y adecuar su empresa.

Compártenos en tus redes

Directiva de cookies

Este sitio utiliza cookies para el almacenamiento de información en su equipo.

¿Lo acepta?