Aspectos destacados RGPD

Respondiendo a sus dudas mostramos a continuación un resumen de los aspectos que consideramos más importantes.

1.- ¿Aplicar la nueva normativa supone más trabajo para mi empresa?

El RGPD supone un mayor compromiso de empresas y autónomos con la protección de datos. Aunque no necesariamente tiene que implicar más carga de trabajo.

Si actualmente gestionamos los datos personales correctamente, la nueva normativa será fácil con nuestro sistema de gestionar.

2.- Obtención del consentimiento.

Es uno de los cambios más relevantes que trae el nuevo RGPD.

Hasta ahora, había varias formas para obtener el consentimiento para el tratamiento de datos personales. Con la nueva normativa, solo podrá hacerse mediante declaración explícita de los interesados o una acción positiva que indique su acuerdo.

Se prohíben prácticas como el consentimiento tácito o por inacción del interesado. No podremos volver a ver textos como éste: ‘si en 30 días no nos da su negativa al tratamiento de sus datos, entenderemos que consiente…

En las páginas web podrán seguirse utilizando las casillas para la obtención del consentimiento, pero no las casillas pre-marcadas.

Además, el consentimiento deberá darse separadamente para cada una de las finalidadesCuidado con esto porque puede ser necesario que la persona marque varias casillas y no una, como hasta ahora.

Aconsejamos estudiar cada caso por separado. En algunos, puede que no sea necesario el consentimiento explícito porque el tratamiento se realiza bajo el amparo del interés legítimo o por la ejecución de un contrato.

3.- Cláusulas informativas y avisos de privacidad.

Es fundamental revisar las cláusulas informativas y avisos legales, tanto en webs como en otros soportes. (Políticas de Cookies, Políticas de privacidad, etc.)

Deberán incluir cuestiones que hasta ahora no eran obligatorias: base jurídica del tratamiento, plazo de conservación, criterios para su determinación…

Además, deberán ser concisas, transparentes, inteligibles, accesibles, con un lenguaje claro y sencillo, por escrito y de acceso gratuito.

4.- Qué hacer en los contratos con terceros encargados de tratamiento (ET).

Los encargados de tratamiento (ET) son todos los terceros que nos prestan un servicio con acceso a datos personales.

Recomendamos firmar nuevos contratos con adaptación a LOPD y RGPD con todos los encargados de tratamiento.

Estos contratos deberán incluir novedades: descripción detallada de los servicios prestados, medidas aplicadas, posibles transferencias internacionales de datos, subcontrataciones, etc.

5.- Niveles de seguridad de los datos.

El nuevo RGPD no habla de 3 niveles de los datos, como sí hacía la LOPD (básico, medio, alto). Allí se refería a diferentes niveles para aplicar en cada uno medidas de seguridad más o menos intensas.

El RGPD mantiene la categoría de nivel alto y pasa a englobarla en las “categorías especiales de datos, o datos sensibles”. Además, los datos genéticos y datos biométricos pasan a estar dentro de estas categorías especiales que requieren un tratamiento especial.

6.- Medidas de seguridad que hay que aplicar.

El RGPD no habla de unas medidas de seguridad específicas. Sí que aparece el concepto de responsabilidad proactiva (accountability).

Implica que quienes traten datos personales deben aplicar las medidas necesarias para garantizar los criterios de seguridad correspondientes: confidencialidad, integridad, disponibilidad y resiliencia.

Estas son algunas medidas que AKRA CONSULTING  recomienda para asegurar el cumplimiento del RGPD:

– La empresa debe tener en cuenta las cuestiones relacionadas con la protección de datos personales en su toma de decisiones.

– Hacer una protección de datos por defecto y desde el diseño.

– Tener unas medidas de seguridad técnico-organizativas.

– Mantener un registro de actividades de tratamiento de datos.

– Realizar un análisis de riesgos y evaluaciones de impacto. Recomendable cuando sea probable que el tratamiento presente un alto riesgo específico para los derechos y libertades de los interesados. Por ejemplo, con los datos englobados en las categorías especiales de datos o con colectivos que requieran más protección (menores).

– Nombrar un delegado de protección de datos (DPO). Esto lo desarrollamos más adelante, en el punto 10).

– Realizar la notificación de violaciones de la seguridad de los datos a los perjudicados.

– Tener documentadas, actualizadas y aplicadas en todo momento estas medidas de seguridad.

7.- Registro de actividades del tratamiento.

La actual obligación de inscribir los ficheros en la Agencia de Protección de Datos (AEPD) desaparece a partir del 25 de mayo.

El RGPD obliga al responsable de tratamiento (RT) y al encargado de tratamiento (ET) a llevar un ‘registro de actividades de tratamiento’. Este registro debe tener un contenido mínimo regulado por la normativa. Sería, de algún modo, el equivalente al actual ‘documento de seguridad’.

8.- Nuevos derechos: limitación, olvido y portabilidad.

La LOPD contemplaba los llamados derechos ARCO de los titulares de los datos (acceso, rectificación, cancelación y oposición).

El RGPD introduce tres nuevos conceptos. El derecho al olvido, que son los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet. El derecho a la portabilidad, que permite al interesado recuperar sus datos de forma estructurada para trasladarlos a otro responsable. Y el derecho de limitación, que consiste en que el usuario decide qué datos cede al responsable del tratamiento y con qué límites (temporales, geográficos, de alcance…).

9.- Régimen de sanciones.

El régimen de sanciones será variable y las sanciones podrán fijarse en función del volumen de negocio de la empresa.

Podrán ser sanciones directas (hasta 20.000.000€) o bien un porcentaje del volumen neto de la cifra de negocio de la empresa el ejercicio anterior (entre un 2% y un 4% de dicho valor).

10.- Qué es el Delegado de Protección de Datos (DPD-DPO).

La empresa o autónomo estará obligada a designar un Delegado de Protección de Datos (DPO) solo en estos casos:

– Cuando se trate de una autoridad u organismo público (excepto en tribunales cuando actúen en su función jurisdiccional).

– Si sus actividades principales consisten en operaciones que requieren una observación habitual y sistemática de interesados a gran escala. Por ejemplo, empresas que desarrollen actividades de publicidad y prospección comercial.

– Si sus actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos personales. Por ejemplo, Centros de Formación dentro del ámbito de la Ley 2/2006 de Educación. También empresas que traten de manera habitual, sistemática y en gran medida, datos sobre ideología, sexo, condición religiosa, política o sindical, salud, datos biométricos o genéticos.

El Delegado de Protección de Datos puede ser interno o externo. Es decir, se puede contratar el servicio si la empresa no dispone de recursos propios para llevarlo a cabo.

Debe designarse un DPD atendiendo a sus cualidades profesionales y a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos.

 

¿Qué servicios ofrece AKRA CONSULTING como empresa especialista?

De una manera presencial, nunca se debe de realizar una implantación de forma online o de forma telefónica, nuestro especialista:

  • 1- REALIZARA UNA REVISION PROFUNDA DE TODOS LOS PROCEDIMIETOS Y TRATAMIENTOS DE DATOS DE CARÁCTER PERSONAL QUE REALIZA SU EMPRESA.
  • 2- ESTUDIARA LA ADAPTACION DE TODOS LOS ELEMENTOS QUE SE VEAN AFECTADOS POR EL CAMBIO DE NORMATIVA
  • 3- EXPLICARA Y DARA UNA PEQUEÑA FORMACION , (EN CASO DE DATOS SENSIBLES O ESPECIALMENTE PROTEGIDOS SERA SUPERIOR )
  • 4- EN CASO DE EMPRESAS CON DATOS SENSIBLES O ESPECIALMENTE PROTEGIDOS SE REALIZARA LA EVALUACION DE IMPACTO. (EN EMPRESAS CON ESTE TIPO DE DATOS ES OBLIGATORIO EL DPO (DATA PROTECTION OFFICER)

 

  • 5- REALIZAREMOS EL DOCUMENTO DE SEGURIDAD COMPUESTO POR:
    • A) Ámbito de aplicación del documento
    • B) Funciones/obligaciones del personal
    • C) Medidas, normas y procedimientos.
    • D) Hoja de registros y violaciones de Seguridad y Gestión de incidencias.
    • E) Contraseñas y copias de seguridad
    • F) Gestión de soportes y documentos
    • G) Tratamientos
    • H) Controles periódicos / auditorias ( en caso de DPO)
    • I) Contratos con :
      • Confidencialidad Empleados
      • Encargados de tratamiento.
      • Empresas cesionarias de Datos.
      • Empresas con/sin acceso a datos pero si a los locales que los contienen.

 

  • Normativas ARCO.
    • Acceso
    • Rectificación
    • Cancelación
    • Oposición
    • Portabilidad de datos
    • Derecho al olvido.

 

  • Y todo tipo de formularios necesarios para cumplir la ley LSSI.