ContactoZona PrivadaPrecios

Analizamos cómo hay que adaptarse a la RGPD

cenefa
cenefa
  • Facturación Electrónica,
  • Ley Crea y Crece,
  • Ley Antifraude...

No esperes al último momento, adáptate ya

GRATIS con Kit Digital

 
ME INTERESA
Avatar de Software DELSOL
17 de abril de 2018

La nueva regulación legal sobre protección de datos de carácter personal se encuentra en el Reglamento (UE) 2016/679 de 27 de abril del Parlamento y del Consejo que fue publicado en el diario oficial de las Comunidades Europeas del 4 de mayo de 2016, que deroga la anterior normativa (Directiva 95/46/CE) y que aplica la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que fue publicada en la misma fecha que su reglamento.

El Reglamento es directamente aplicable en todos los estados europeos y no requiere de trasposición ni adaptación de la normativa nacional, por lo que sustituye, aquí en España, a la Ley Orgánica de Protección de Datos (LO 15/1999, de 13 de diciembre) aunque la normativa nacional si podrá incluir algunos matices a la nueva regulación.

Esta nueva norma ordena que se adapten a ella todos los tratamientos de protección de datos a partir de dos años desde su entrada en vigor por lo que el Reglamento es totalmente aplicable a partir del 25 de mayo de 2018 dándose este plazo para que los que gestionan datos personales de terceros puedan adaptarse al cumplimiento de la nueva norma.

En general, muchos principios y procedimientos de la anterior normativa se mantienen en la actual, por lo que quién cumplía la anterior regulación tiene una parte importante ganada para el cumplimiento de la nueva.

Sin embargo, encontramos importantes novedades en la nueva regulación.

Principio de Responsabilidad Proactiva

Requiere una actitud consciente y proactiva del que trata los datos.

Se ordena al responsable del tratamiento de datos que ponga los medios necesarios para poder demostrar que realiza el tratamiento conforme al Reglamento.

Para ello debe analizar:

  • Qué datos trata.
  • Para qué tiene esos datos.
  • Qué operaciones de tratamiento de datos se realizan.

Con ello debe decidir, expresamente, la forma en que va a aplicar el Reglamento y asegurarse que las medidas adoptadas son adecuadas para su cumplimiento y que podrá demostrarlo ante los interesados y las autoridades supervisoras.

El enfoque del riesgo

Es la exigencia de que las medidas para cumplir el Reglamento tengan en cuenta:

  • El contexto o ámbito y la naturaleza.
  • Los fines del tratamiento de datos.
  • Las libertades de las personas.

En base a ello algunas medidas previstas en el Reglamento se aplicarán, únicamente, cuando exista alto riesgo para las libertades y otras se modularán según el riesgo, es decir, la aplicación se adaptará a las circunstancias.

En consecuencia, las exigencias para una gran empresa que dispone de millones de datos personales no son las mismas que las de una pequeña empresa que tiene algunos datos personales en su gestión.

Medidas prácticas de adaptación al Reglamento

Legitimación

Debemos revisar y documentar cuál es la base legal de nuestro tratamiento de datos de terceros.

En los casos que se exige el consentimiento de los propietarios de los datos debemos revisar si se ha solicitado dicho consentimiento en la forma prevista por el Reglamento u otra forma legal adecuada.

Información y derechos

A los interesados se debe suministrar información de sus derechos de forma clara, concisa, transparente y de fácil acceso.

Esta información debe incluir todos los elementos previstos por el Reglamento.

Los afectados deben tener acceso a mecanismos para el ejercicio de sus derechos que sean accesibles, sencillos visibles. Tales derechos deberían poder ejercerse por vía telemática.

Debemos tener medios para verificar la identidad de los que acceden y ejercen sus derechos.

El ejercicio de estos derechos debe ser atendido en los plazos reglamentarios. En su caso, contrataremos la colaboración de profesionales especializados en protección de datos.

En concreto debemos crear mecanismos para atender al derecho de que los datos se conserven sin que se utilicen para operaciones distintas de su finalidad.

Relaciones responsable-encargado

Si contratamos profesionales para el tratamiento de datos debemos comprobar que ofrecen garantías de que se va a cumplir el Reglamento.

Asimismo, habrá que revisar los contratos con dichos responsables para comprobar que están adaptados a la nueva regulación.

Medidas de responsabilidad proactiva

Debemos estudiar y valorar los riesgos para derechos y libertades de los interesados e implementar las medidas necesarias para su protección.

Nuestros deberes son:

  • Crear y mantener actualizado un registro de actividades de tratamiento.
  • Crear medidas de seguridad según los resultados.
  • Disponer de mecanismos para detectar rápidamente violaciones de seguridad y notificar violaciones de seguridad a las autoridades y/o los interesados.
  • Valorar si nuestra actividad supone algún riesgo para los derechos y libertades de los afectados.
  • Sería conveniente disponer de un delegado de protección de datos que sea una persona con la preparación adecuada para ello, que pueda actuar con independencia y tenga los medios adecuados para sus funciones. Este nombramiento será público, con sus datos de contacto, y se comunicará a la Agencia de Protección de Datos.

Las entidades que manejan un volumen limitado de datos y un bajo riesgo pueden suavizar los requisitos enumerados, salvo que su actividad suponga un alto riesgo para los datos.

Las medidas de seguridad, ante este bajo riesgo, serán las básicas del Reglamento.

Para ello deben identificar la base jurídica de su tratamiento de datos. El responsable de los datos debe conocer la base contractual o jurídica por la que maneja la información y cómo debe gestionarla y cumplir las obligaciones de información a los interesados.

No es obligatorio informar sobre un delegado de protección de datos y la información puede limitarse en cuanto a sus contenidos y proporcionarse por medios más sencillos.

El responsable debe comprobar que la información se utiliza sólo para sus fines y está bajo el amparo de un contrato y que se mantendrá la confidencialidad más estricta.

A tal fin, existen modelos de contratos aprobados por la Unión Europea que garantizan el cumplimiento de estas obligaciones. Tenemos toda la información en el sitio web de la Agencia de Protección de Datos Española.