¿Qué hacer para que tu empresa u organización cumpla con el Reglamento Europeo de Protección de Datos RGPD?

04/02/2019 Noticias PROTECCIÓN DE DATOS
¿Qué hacer para que tu empresa u organización cumpla con el Reglamento Europeo de Protección de Datos RGPD?

Le ayudamos a implementar el nuevo reglamento de protección de datos RGPD en su empresa u organización.

Formación y Difusión internas

Las personas que manejan los datos personales de la organización, deben ser conscientes de los riesgos y obligaciones que supone. Así como mantenerse vigilantes para que su uso sea llevado a cabo de manera lícita, leal y transparente. En caso contrario, todo lo demás estará abocado al fracaso. (Art. 5.1.a del Reglamento General de Protección de Datos -RGPD-).

Elaborar un registro de actividades

El Registro de ACTIVIDADES DE TRATAMIENTO tiene una doble vertiente.

Por un lado recoge las actividades internas de la empresa en la que se gestionan datos de carácter personal, en las cuales la empresa es RESPONSABLE DEL TRATAMIENTO. Tal y como regula el Art. 30 del RGPD, debe recoger aspectos como el nombre del tratamiento, la licitud que ampara este tratamiento, los fines del mismo etc.

Por otro lado, las tareas que hacemos por cuenta de nuestros clientes en las que manejamos sus datos de carácter personal. También en la que nuestra figura es la de ENCARGADO DEL TRATAMIENTO.

Elaborar los contratos necesarios

La confidencialidad de los trabajadores y personas con acceso a datos personales. Así como la regulación de los datos que cedemos y nos ceden para ser tratados. Deben ser regulados con los correspondientes contratos.

(Contratos de confidencialidad, Contratos de Encargado)

Evaluar los riesgos y Tomar las medidas de seguridad necesarias

Si alguna de las ACTIVIDADES DE TRATAMIENTO identificadas pudiera entrañar un riesgo para los derechos y libertades de las personas físicas interesadas, el RESPONSABLE deberá llevar a cabo una evaluación del impacto de las operaciones de tratamiento. Estas cuestiones se regulan en el Art. 35 del reglamento de protección de datos (RGPD).

Pero, en todo caso, siempre habrá de llevarse a cabo una evaluación de las amenazas que pudieran darse en perjuicio del interesado, titular de los datos personales, su probabilidad y, en función de ambas variables, evaluar el riesgo y establecer medidas necesarias para su disminución o evitación.


 

Cumplir con el reglamento de protección de datos en 2019

 

Medidas de seguridad de carácter tecnológico

Actualmente, la práctica totalidad de los datos que se manejan en las empresas y organizaciones están en soporte informático. Por ello, los datos están expuestos a multitud de riesgos tecnológicos. Como el acceso indebido, robo electrónico, fugas de información, pérdida de datos, etc. Para hacer frente a estas vulnerabilidades la empresa debe tomar medidas como las siguientes:

  • Configuración adecuada de los Servidores y demás elementos de las redes.
  • Gestión de la contraseñas de acceso y los permisos de los usuarios.
  • Actualización y monitorización de cada uno de los elementos informáticos.
  • Sistemas de antivirus y antimalware en general, eficientes y actualizados.
  • Cortafuegos o Firewall.
  • Conexiones con el exterior cifradas y seguras (VPN).
  • Cifrado de datos y dispositivos móviles.
  • Sistemas para detectar y proteger las fugas de información.
  • Sistemas de copias de seguridad y de continuidad de negocio.

Revisar consentimientos, formularios y webs

La legitimidad y el consentimiento del interesado para el manejo de sus datos son piedras angulares de este nuevo reglamento. Debe ser obtenido mediante un acto afirmativo, libre, específico, informado e inequívoco.

Todos los formularios físicos y electrónicos, deben ser revisados. Así aseguramos que los aspectos legales de información y demás estén debidamente recogidos. Lo mismo sucede con las WEB’s.


¿Es necesario un delegado de protección de datos (DPD)?

Sí, siempre que se den alguna de estas tres circunstancias descritas en el Art. 37 del reglamento de protección de datos (RGPD):

  1. “el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial.
  2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.”

Pero en cualquier caso es conveniente para la Empresa u Organización nombrar un DPD que se encargue de informar, supervisar, asesorar y ser el punto de referencia RGPD o LOPDGDD de la empresa. Todas estas funciones se regulan en el Art. 39 del RGPD.

Accountability

Para cumplir con el principio de Accountability (Responsabilidad Proactiva) contemplado en el RGPD, que supone un enfoque proactivo en lugar de reactivo ante las posibles brechas de seguridad, habrá que tomar las medidas técnicas y organizativas que garanticen la protección de los datos y además hay que establecer los mecanismos para poder demostrar que esas medidas se han estado tomando de manera sistemática.


Estos aspectos no pretenden ser una guía a seguir y por supuesto no recogen ni de largo todos los requerimientos del Reglamento, pero nos pueden dar una idea de si nuestra Empresa u Organización están en la vía de cumplir con el Reglamento o está totalmente al margen del mismo.

Es habitual encontrarse con reflexiones del tipo “A nosotros no nos afecta la normativa de protección de datos”, en un 99% de los casos esa reflexión es más un deseo que una realidad, ya que como queda definido en el Art. 4.1 del RGPD:

“datos personales:

toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Por lo que datos de empleados, datos de clientes, datos de personas a las que enviamos publicidad, imágenes de personas que captamos con nuestras cámaras de vigilancia, etc., todos ellos son datos de carácter personal protegidos por el Reglamento y es muy difícil imaginar una empresa u organización que no maneje algún tipo de datos de los que se recogen en este apartado.

Es importante tener en cuenta que el RGPD establece que las infracciones se sancionarán con multas administrativas de 10 a 20 millones € o del 2% al 4% del volumen de negocio anual.

Según la nueva LOPD, las sanciones establecidas en el RGPD se aplicarán teniendo en cuenta ciertos criterios de graduación.