Te contamos los puntos clave del nuevo Reglamento Europeo de Protección de Datos
Como ya hemos comentado en nuestras redes sociales, posts y colaboraciones, el próximo 25 de mayo de 2018, entra en vigor el nuevo Reglamento Europeo de Protección de Datos, también conocido como RGPD o GDPR, que es un texto normativo de aplicación directa, lo que significa que no necesita transposición, esto es, adaptación normativa en los países de la Unión Europea.
Este Reglamento surge como consecuencia de la evolución de la anterior Directiva europea del año 1995 de protección de datos personales que, debido al transcurso del tiempo y la incesante evolución de la tecnología, se había quedado obsoleta.
El nuevo Reglamento supone grandes cambios para las empresas y como hay que realizarlos, para ir bien, antes de mayo, mediante este post te contamos cuáles son las claves de adaptación de tu negocio al GDPR.
¿Qué significa el GDPR para las empresas?
La verdad es que este Reglamento significa un cambio de paradigma para las empresas que venían cumpliendo con la normativa de protección de datos o las que a partir de ahora quieran hacerlo. Hasta ahora, las empresas estaban acostumbradas a una serie de medidas y protocolos en cierto modo estandarizados que detallaban cómo la empresa efectuaba un tratamiento de datos personales.
La adecuación a una empresa pasaba por revisar el tipo de datos que se recogían, las medidas de seguridad que se implementaban y protocolizar todo el tratamiento de los datos en unos documentos de seguridad y anexos que lo complementaban.
El nuevo Reglamento Europeo de Protección de Datos va más allá y establece como principio la proactividad de las empresas en querer implementar medidas de seguridad adecuadas al tratamiento de los datos. Se trata de examinar detenidamente el tipo de datos personales que se quieren recabar o se recaban por las empresas, la finalidad del tratamiento de esos datos, el cómo llegan a nuestra empresa y cómo almacenamos esa información, así como en qué supuestos la difundimos, cedemos, comunicamos o compartimos. Así como en qué supuestos la destruimos y cómo lo hacemos. Hasta aquí, parecería no distar mucho de lo que se hacía hasta el momento pero lo cierto es que sí, que el nuevo Reglamento supone muchísimos cambios.
Así, todo este tratamiento de datos, según el Reglamento, debe ser tratado bajo otra serie de parámetros y principios como el principio de licitud y transparencia en el tratamiento de los datos; exigiendo que la forma de advertir al usuario sobre dichos tratamientos que se van a producir, sean mucho más claros, mucho más transparentes y específicos, el principio de limitación en el tratamiento, no pudiendo tratarse los datos para otros fines que para los que fueron recogidos; el principio de minimización de los datos, que exige que solo se recaben los datos justos y necesarios para determinado tratamiento y el principio conocido como Privacy by Design & by Default, del que ya hablamos en este blog y que tiene por objetivo que se genere una alerta en la empresa, previo efectuar un tratamiento de datos personales, por la que se pare a analizar si el tratamiento de datos que pretende efectuar es el que toca o es excesivo y cuáles son los mecanismos y circuitos que se pretende realizar con dicha información.
Una de las medidas que incorpora el GDPR es la necesaria realización de una Evaluación de Impacto para la Privacidad (EIPD) cuando se produzcan determinadas situaciones en las empresas que entrañen riesgos específicos para los derechos y libertades de los interesados por razón del tratamiento efectuado. Por ejemplo, la realización de este tipo de evaluaciones es muy adecuada para empresas que trabajan con datos de salud o para aquellas que realizan análisis de comportamiento con datos identificativos de las personas de forma continuada. En cada caso, con la ayuda de un experto, se podrá determinar si esta evaluación es o no necesaria.
Otra de las medidas a implementar es la realización de un inventario de tratamientos de la empresa, acompañado de todos los circuitos que desarrollan estos tratamientos. Y luego, también se van a tener que implementar todo tipo de medidas de seguridad adecuadas con el tipo de tratamiento y datos que se efectúe y recabe, respectivamente, disponiendo de protocolos y medidas que acrediten que la empresa está en continuo cumplimiento de la normativa. Esto es, va a haber que acreditar que la empresa se toma muy en serio el cumplimiento de esta normativa, mediante el establecimiento de circuitos, modelos y registros que acrediten que se está efectuando todo este seguimiento.
Por lo anterior, en parte, también, se promueve la intervención de una figura clave en el cumplimiento y seguimiento de la normativa dentro de la empresa: el Delegado de Protección de Datos, conocida también como Data Protection Officer o DPO. Se trata de una persona formada en derecho y con experiencia en el ámbito de protección de datos que se exige cuando se dan ciertas situaciones o tratamientos y se recomienda se disponga de ella cuando se den otras.
¿Cuándo es necesario disponer de un DPO en tu empresa?
De acuerdo con el Reglamento Europeo de Protección de Datos, es necesario disponer de un DPO:
- Cuando el tratamiento se lleve a cabo por una autoridad u organismo público
- Cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala o
- Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales
¿Cuándo es recomendable disponer de un DPO?
De acuerdo con lo que establece el propio RGPD, es muy conveniente en los siguientes supuestos:
- Cuando exista una complejidad legal en el tratamiento de los datos;
- Para una mayor concienciación de los interesados sobre sus derechos y vías de protección de sus datos;
- Para velar por la privacidad de los clientes o usuarios y prevenir el incurrir en sanciones
- Cuando se disponga de empresas de + 250 trabajadores
Existen otras normas o exigencias que establece el nuevo Reglamento como la exigencia de adopción de ciertas medidas de seguridad adicionales como el encriptado, cifrado o similar para determinados tratamientos de datos. También aparecen conceptos como la seudonimización de los datos, la aparición del derecho al olvido y el derecho a la portabilidad de los datos, derechos que complementan a los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición) que no desaparecen con la normativa reciente.
Por último, otras novedades son el deber de notificación de incidencias tanto a la Autoridad competente de protección de datos como al usuario afectado, cuando se den ciertos supuestos en que los derechos fundamentales se hayan visto vulnerados, debiendo tener unos protocolos que regulen todo este procedimiento y sus posibles soluciones o mecanismos de mitigación del daño. También es muy importante la aparición de una nueva graduación en las sanciones económicas que, con el citado Reglamento, podrían llegar a los 20 millones de euros o el 4% de la facturación global anual por determinadas infracciones de la normativa de protección de datos.
Existen otros detalles y particularidades que establece el nuevo Reglamento europeo de protección de datos que te podemos acabar de perfilar cuando así lo necesites. Síguenos en el blog o en Redes Sociales porque te iremos contando más detalles al respecto.
¿Cómo y en qué te podemos ayudar?
Desde Avatic Abogados, podemos ayudarte a implementar todos los requisitos que el Reglamento europeo de protección de datos exige, tanto si habías adaptado tu empresa o proyecto a la normativa de protección de datos, como si no lo has hecho nunca. Revisaremos contigo los tratamientos que efectúas y te indicaremos si es conveniente u obligatorio que realices una evaluación de impacto, ayudándote a establecer todos los procedimientos y medidas que requieres para adaptarte al GDPR.
También te ofrecemos la posibilidad de contratarnos como Delegado de Protección de Datos externo, ofreciéndote un servicio totalmente personalizado y acorde con tus necesidades y capacidades.
Como podrás ver en nuestra página web, somos expertos en tecnología, hemos trabajado y estamos trabajando con empresas que tratan datos de la más alta complejidad y efectuamos servicios muy personalizados, acorde con la naturaleza y particularidades de tu empresa.
¿Tienes dudas? Contáctanos o llámanos y te informaremos sin compromiso.
Imagen 1 Freepik: <a href=’https://www.freepik.es/vector-gratis/banners-de-seguridad-en-internet_982202.htm’>Designed by Freepik</a>
Imagen 2 Freepik: <a href=»https://www.freepik.es/vector-gratis/empresario-sosteniendo-un-documento_1577676.htm»>Diseñado por Freepik</a>