¿Conoces el nuevo reglamento de protección de datos?

¿Ya has adaptado tu empresa al nuevo reglamento de protección de datos? A partir de este 25 de mayo de 2018 todas las empresas que manejen datos de carácter personal tienen la obligación de adaptarse al RGPD, el Reglamento 2016/679 del Parlamento Europeo de 27 de abril de 2016, relativo a la protección de datos personales de las personas físicas.

¿Qué es el RGPD?

El Reglamento General de Protección de Datos es un nuevo marco normativo que tiene como objetivo fortalecer y unificar la protección de datos en todos los países de la Unión Europea. Además, el nuevo reglamento prevé que la información se proporcione a los interesados de forma concisa, transparente, inteligible y de fácil acceso.

Por lo tanto, este nuevo reglamento sustituirá a la Ley Orgánica de Protección de Datos (LOPD), vigente en España desde 1999.

¿Qué pasa si no lo cumplo?

El incumplimiento del RGPD, bien porque se haya producido un  incidente, un ciberataque o porque se haya cometido un error interno por parte algún empleado, podría dar lugar a una investigación regulatoria.

De acuerdo a la normativa, las sanciones pueden llegar a los 20 millones de euros. Y en el caso de una empresa puede suponer el 4% de la facturación anual global.

En resumen, una cantidad muy diferente de las antiguas multas de la LOPD, donde las multas alcanzaban hasta los 600,000 euros.

Pasos a seguir para la adaptación al RGPD

  1. Designación del DPD, delegado de protección de datos, si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, identificar a la/s persona/s responsables de coordinar la adaptación.
  2. Realizar un análisis de riesgos.
  3. Revisar las medidas de seguridad a la luz de los resultados del análisis de riesgos.
  4. Establecer mecanismos y procedimiento de notificación de quiebras de seguridad.
  5. A partir de los resultados del análisis de riesgos, realizar, en su caso, una evaluación de impacto en la protección de datos.
  6. Elaborar el registro de actividades de tratamiento teniendo en cuenta su finalidad y la base jurídica

Actuaciones simultáneas a los pasos anteriores

  1. Adecuar los formulariso de derecho de información.
  2. Adaptar los mecanismos y procedimientos para el ejercicio de derechos.
  3. Valorar si los encargados ofrecen garantías y adaptación de contratos
  4. Elaborar / Adaptar  la política de privacidad.

En todo caso, es imprescindible documentar todas las actuaciones realizadas para poder acreditar la diligencia en el cumplimiento del RGPD.

Características del nuevo reglamento de protección de datos

Abligaciones para la seguridad de los ciudadanos

Consentimiento para el tratamiento de datos. Además, ha de obtenerse inequívocamente, de forma libre y revocable.

Nuevos derechos de los interesados. A los derechos de acceso, rectificación, cancelación y oposición se les unen más. Aparecen el de transparencia de la información, supresión (derecho al olvido), limitación y portabilidad de nuestros datos.

Ampliación del deber de información. Por eso, se debe informar sobre nuevos aspectos como la base legal para el tratamiento o período de conservación de los datos.

Obligaciones para la seguridad de las empresas

Delegado de protección de datos (DPO). Esta figura asume competencias en materia de coordinación y control del cumplimiento de la normativa.

Transparencia. Los avisos legales, políticos de privacidad y mecanismos para ejercer los derechos deben ser simples e inteligibles.

 Registro de actividades de tratamiento de datos. El RGPD aborda la seguridad de cada actividad de tratamientos de datos que realice la empresa.

Análisis de riesgo. Todas las empresas deben analizar las vulnerabilidades informáticas para implementar soluciones informáticas destinadas a impedir o bloquear ataques.

Evaluación de impacto de protección de datos (EIPD). En aquellos casos en que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.

Brechas de seguridad. También aparece la obligación de identificación y respuesta ante violaciones de seguridad, así como comunicación a las autoridades.

Responsabilidad. En este caso, las empresas deben acreditar que han adoptado las medidas técnicas necesarias para tratar los datos personales.

Protección de datos por defecto y desde el diseño. Medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos personales.