902 36 57 41     comercial@geyce.es    

GEYCE AGP


Cambios reales en la protección de datos

jun 4, 18 • Sin categoríaComentarios desactivados en Cambios reales en la protección de datosLeer mas »

Tal y como os hemos comentado anteriormente en el editorial, hemos realizado un pequeño artículo en el que podréis encontrar aquellos cambios más relevantes para adaptarse al RGPD.

PRINCIPIOS

Principio de licitud, lealtad y transparencia:

Se refiere a la relación con el interesado, en todos los pasos del proceso debemos ser honestos, leales y transparentes. La licitud del tratamiento debe ser informada durante todo el proceso a cada interesado, para así mantenerlo informado.

Principio de limitación de la finalidad:

No podemos utilizar los datos para ninguna finalidad que no esté licitada. Aunque cabe decir que el consentimiento no es la única licitación que la ley contempla.

Principio de minimización de datos:

Solamente debemos tener acceso ( y por tanto realizar el tratamiento ) de aquellos datos que sean específicamente necesario para la finalidad licitada.

Principio de exactitud:

Todos los datos de los que dispongamos deben ser exactos, y si fuera necesario deben mantenerse actualizados.

Limitación del plazo de conservación:

Según la evaluación de riesgos realizada hay que establecer unas medidas de seguridad, entre ellas establecer cuánto tiempo permanecerán los datos al alcance de la empresa después de finalizar el tratamiento acordado.

Principio de integridad y confidencialidad:

Hace referencia a la aplicación de medidas de seguridad, acordes a la situación de la empresa, para garantizar la seguridad e integridad de los datos de carácter personal que poseemos o a los que tenemos acceso.

Accountability:

Este es el principio que modifica y condiciona el funcionamiento de esta ley. Se refiere a la proactividad. Ya no existen medidas de seguridad y procesos preestablecidos, sino que ahora cada empresa toma las decisiones en función de los riesgos que pueda encontrar. Ya no hay que demostrar que se cumple la ley, sino demostrar proactividad y buena praxis en la gestión de los datos.

DERECHOS
El primer ámbito de cambios en la nueva normativa es el de los derechos del interesado (entiéndase interesado como la persona física identificable mediante los datos de carácter personal). En la LOPD los derechos ARCO estaban conformados por: Derecho de información, de acceso, de rectificación, de cancelación o de oposición. El nuevo Reglamento añade tres derechos básicos para los interesados: Derecho al olvido, a la limitación del tratamiento y a la portabilidad de los datos. A continuación os explicamos éstos nuevos derechos que han aparecido:

Derecho al olvido: Hace referencia al derecho a impedir la difusión de la información personal a través de internet cuando ésta no cumple los requisitos de adecuación y pertinencia. Por tanto permite que el usuario exija a los buscadores generales que ciertas páginas que contienen datos personales suyos dejen de aparecer en los buscadores. Esto no implica la desaparición de internet, solamente como resultado en las búsquedas realizadas mediante buscadores.

Derecho a la limitación del tratamiento: Este derecho está directamente relacionado con el derecho de rectificación y el derecho de oposición. El procedimiento para aplicar estos derechos tiene un margen de tiempo en el que se evalúan los motivos de dicha oposición o rectificación, el objetivo del cual es determinar si pesan más los motivos del interesado o el interés lícito del responsable del tratamiento. Durante este lapso de tiempo se aplica la limitación del tratamiento, que consiste en que el responsable mantenga dichos datos bloqueados y no pueda tratarlos hasta que se resuelvan los derechos de oposición o de rectificación. También puede darse el caso de que el interesado pida al responsable la limitación del tratamiento para que sus datos no sean borrados de la base de datos, ya que de este modo pueden ser utilizados para el ejercicio y defensa de reclamaciones ante la AEPD.

Portabilidad de los datos: Dispone que el interesado tendrá derecho a recibir sus datos personales proporcionados a un responsable en un formato “estructurado, de uso común y lectura mecánica; como podría ser una hoja de Excel. Además tiene derecho a que el responsable transmita dichos datos a otro responsable.

INFORMACIÓN

El objetivo principal del nuevo Reglamento de Protección de datos es proteger los derechos y libertades de las personas. Y dado que una violación de los datos personales podría comportar limitaciones en cuanto a derechos o libertades para el interesado, se ha decidido que cada interesado esté informado de dónde están y qué se hace con sus datos.

Por ello, el derecho de información ha sido ampliado. Debemos informar en todos los momentos de contacto con el cliente al respecto de sus datos. En el momento de la recogida de los datos, por ejemplo, hay que informar de:

¿Dónde quedarán los datos almacenados?
Los derechos del interesado y como ejercerlos
El tiempo que se mantendrán sus datos en nuestra base de datos
El contacto de la persona al cargo de la protección de datos (en su defecto el delegado de la protección de datos)

OBLIGACIONES DE LA EMPRESA

La forma de trabajar el tratamiento de datos y la protección de los mismos ha cambiado sensiblemente. Ahora, con el nuevo RGPD, esta normativa queda suscrita a la proactividad del responsable y el encargado. No hay unas medidas de seguridad preestablecidas, medibles y demostrables.

Teniendo en cuenta que cada empresa es un mundo, y que el tratamiento y gestión de los datos son diferentes en cada empresa, todo empieza por hacer un análisis de riesgos para cada caso. De este análisis obtendremos los riesgos que podría implicar una violación de seguridad, por tanto sabremos qué nivel de seguridad, y a su vez qué medidas, hay que aplicar para cubrirse las espaldas.

EL DELEGADO DE LA PROTECCIÓN DE DATOS

Esta figura aparece por la necesidad de tener un interlocutor claro con una empresa. Por parte de la Agencia Española de Protección de datos con el objetivo de facilitar las gestiones, inspecciones y comunicaciones. Y por parte del interesado, con el objetivo de ejercer los derechos de forma efectiva.

¿Qué organizaciones tienen la obligación de nombrar un DPD?

– Administraciones públicas
– Empresas:
Cuando el tratamiento implique una observación habitual y sistemática de datos a gran escala

Cuando la actividad principal consista en el tratamiento a gran escala de categorías especiales de datos personales

Requisitos del DPD

– Alto nivel de conocimiento de derecho
– Formación específica en materia de protección de datos
– Capacidad para ejercer sus funciones

Posición en la empresa

– Alto nivel jerárquico
– Garantía de independencia en la toma de decisiones
– No es necesaria la dedicación exclusiva
– Se puede subcontratar

REGISTRO DE ACTIVIDADES DEL TRATAMIENTO

Es el sustituto natural del documento de seguridad, aunque adaptado al nuevo marco legal. No todas las empresas están obligadas a realizar y gestionar dicho documento.

Cabe decir que no es necesario, como en el caso del documento de seguridad, que éste se realice en formato físico. Y el cambio más importante que incluye es que necesita estar actualizado, ya que tienen que figurar todos los tratamientos realizados por la empresa.

¿Qué empresas no están obligadas?

Todas aquellas empresas de menos de 250 trabajadores cuyo tratamiento no implique un riesgo a los derechos y libertades de los interesados o que traten categorías especiales de datos de carácter personal.

¿Qué debe incluir?

– Registro interno de las operaciones de tratamiento
– Nombre y datos de contacto del responsable del tratamiento y su DPO
– Finalidades de tratamiento
– Categorías de interesados
– Las transferencias de datos
– Plazos previstos para el borrado de datos
– Descripción de medidas técnicas y organizativas de seguridad

SANCIONES

Las sanciones por incumplimiento del nuevo reglamento de protección de datos oscilan entre el 4% de la facturación anual y 20 millones de Euros.

¿Exteriorizar o interiorizar la gestión de la protección de datos?

Toda la gestión y los procesos para adaptarse al nuevo reglamento pueden ser exteriorizados. Es más, hay muchas empresas que ofrecen servicio integral (incluso la posición del DPD) y que conocen la ley a fondo. Si no tenéis tiempo o no habéis realizado ningún tipo de formación específica es una posibilidad que deberíais contemplar.

Aunque hay que tener en cuenta que muchas de estas empresas utilizan procesos estándar para todas las empresas, no estudian cada caso a fondo y eso puede llevar a cometer irregularidades. Por ejemplo, en GEYCE hemos recibido contratos absolutamente genéricos que no se adaptan a la situación real de los datos.

Por ello, recomendamos que para realizar esta adaptación a nivel interno realicen las formaciones necesarias. Por otro lado, si decidís exteriorizarlo, coordinad muy bien el proceso y supervisad cada paso que la empresa realice, ya que, como hemos visto en el apartado anterior, las sanciones son especialmente grandes.

Comments are closed.