Filters
Close

Proteccion de Datos

NUEVAS OBLIGACIONES EN PROTECCIÓN DE DATOS

La entrada en vigor a partir del próximo 25 de mayo de 2018 del nuevo Reglamento General de Protección de Datos (RGPD) pretende dotar a todos los interesados de mayor control sobre sus datos personales; esto implica como contrapartida la necesidad de un proceso de adaptación de todas las empresas. Dicho proceso de adaptación debe ser cuidadosamente aplicado, ya que no solo hay que tener en cuenta la nueva legislación vigente, sino que hay que saber implementar el conjunto de soluciones técnicas y protocolarías que se necesiten.

El cliente está dotado de una serie de derechos (Derecho de Acceso, Derecho al Olvido, Derecho de Rectificación, etc.) que acarrean toda una batería de obligaciones para el empresario. Entre estas obligaciones de las empresas se encuentra un deber de Rendición de Cuentas, que consiste en ampliar la información en poder de los clientes, así como en implementar técnicas de Privacidad desde el Diseño.

El nuevo principio jurídico que va a regir la protección de datos será el Principio de Accountability, o principio de responsabilidad activa, que quiere decir que las empresas no solo tienen que cumplir con la normativa de protección de datos, sino que tienen que demostrar que la cumplen. Hay que tener responsabilidad proactiva tanto en el cumplimiento como en su demostración. Esto implica la necesidad de mecanismos para poder demostrar ante terceros la efectiva aplicación de la ley.

A continuación se aclaran algunas de las novedades aparecidas en el nuevo RGPD.

- REGISTRO DE ACTIVIDADES DE TRATAMIENTO

El registro de las actividades de tratamiento es una lista de los tratamientos llevados a cabo por la entidad y una información resumida de los mismos. La nueva legislación elimina la necesidad de registrar los ficheros ante la autoridad, en cambio obliga a llevar un Registro de Actividades de Tratamiento para todas aquellas entidades de más de 250 trabajadores, y también para aquellas que, teniendo menos, traten datos calificados de sensibles.

No llevar el Registro de Actividades cuando se deba será calificado de infracción grave, por lo que las multas podrán llegar hasta los 20 millones de euros o el 4% de la facturación anual.


- BRECHA DE SEGURIDAD

Una Brecha de Seguridad es cualquier pérdida de datos, la modificación de estos o su destrucción sin el permiso debido. La nueva legislación nos obliga a llevar un Registro de dichas brechas; así como a hacer un estudio sobre los riesgos para los derechos y las libertades, que hayan podido provocar en nuestros clientes. De comprobarse que efectivamente hay un daño reseñable, deberemos notificárselo a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72h. Si, además, la violación de las medidas de seguridad afectara a datos catalogados como sensibles, deberemos notificárselo a los afectados.

El incumplimiento de este deber de notificación será calificado como infracción grave y conllevará sanciones de hasta 10 millones de euros o el 2% del volumen de negocio anual.

- EVALUACIÓN DE IMPACTO DE PROTECCIÓN DE DATOS (EIPD)

Una EIPD es básicamente un estudio sobre los riesgos de un determinado sistema de información, producto o servicio, para posteriormente gestionar dichos riesgos con la adopción de las medidas necesarias y suficientes para reducirlos.

En principio una EIPD no será necesaria salvo que se dé alto riesgo, evaluación sistemática, tratamiento a gran escala de datos especialmente protegidos o uso de tecnologías invasivas. Asimismo, estarán obligados a realizar EIPD las farmacéuticas, los hospitales y las clínicas, las empresas de seguridad y vigilancia, las comercializadoras de energía, las empresas que realicen e-commerce y los colegios.

- RESPONSABLE DEL TRATAMIENTO DE DATOS

El Responsable es la persona física o jurídica que decide sobre el tratamiento de los datos, qué se va hacer con ellos, si se van a conservar, se van a ceder o se van a eliminar. Es la empresa que los recoge y que responde de ellos, tanto ante la ley como ante los clientes.

Sobre el Responsable recaen las obligaciones esenciales: llevar el Registro de Actividades de Tratamiento, realizar los EIPD, notificar las brechas de seguridad, designar Encargados de Tratamiento y/o Delegados de Protección de Datos y aplicar los principios de Transparencia y Privacidad desde el Diseño.

- ENCARGADO DE TRATAMIENTO DE DATOS

Un Encargado de Tratamiento es aquel que trata datos personales por cuenta de un tercero. El Responsable del Tratamiento tiene la obligación de hacer una elección responsable del encargado, certificando que éste da las garantías suficientes para confiar en él, teniendo en cuenta sus conocimientos y recursos para aplicar las medidas técnicas y organizativas necesarias para cumplir la normativa, incluyendo la seguridad del tratamiento.

- DELEGADO DE PROTECCIÓN DE DATOS (DPD)

Es una de las grandes novedades del nuevo RGPD. El Delegado de Protección de datos es la persona encargada de informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos. También debe supervisar el cumplimiento legislativo y ejercer de enlace con la autoridad de control. Con respecto a los clientes será el encargado de atender sus consultas y permitirles ejercer sus derechos.

Para poder ejercer todas esas funciones deberá poseer autonomía, recursos suficientes y estabilidad en su puesto. El DPD podrá ser un empleado de la propia empresa o un trabajador externo, y deberá tener la suficiente formación jurídica y técnica para el puesto.

Su presencia, salvo en casos concretos, no será obligatoria, pero será un indicador de que la empresa se toma en serio sus obligaciones en materia de protección de datos. Tener DPD es un seguro no solo para estar en regla, sino además para poder demostrarlo. Y esto en la nueva legislación es clave.

Consulte las medidas a tomar para cumplir con estas obligaciones. 

Si desea que le ayudemos a cumplir con estas obligaciones, le ofrecemos la posibilidad de realizar un análisis gratuito y sin compromiso de su caso particular. Más información...