Archivo de la etiqueta: protección de datos en pymes

¿Estamos preparados para la nueva Ley Europea de Protección de Datos?

Las empresas deben empezar a prepararse para cumplir con el nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor en mayo del año pasado y será aplicable a partir del mismo mes de 2018, sustituyendo a la actual LOPD y el reglamento que la desarrolla. Es importante porque lleva un tiempo adaptarla.

protección de datos

O incluso crearla de cero, como ocurre con muchas organizaciones que no tienen protegidos los datos de los interesados sin consecuencia alguna.

El problema está en que, cuando llegue el año que viene y se aplique el Reglamento (UE) 2016/679, las sanciones pueden ser tan gordas que perjudiquen gravemente a la compañía e incluso la harían desaparecer. Por ejemplo, se contemplanimportantes multas administrativas que pueden llegar hasta los 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio anterior”, la que sea de mayor cuantía. No es broma puesto que junto a la multa, se añade la pérdida de credibilidad y de clientes.

Supongamos que un trabajador lee, de forma casual, una información confidencial, este hecho se considera como fuga de datos, con lo que conlleva. Para evitarlo, hay que formar a los empleados, controlar quién ve qué y registrar las incidencias ocurridas, además de crear y actualizar las copias de respaldo y de redactar un buen documento de seguridad.

Lo que pretende la nueva legislación es que las empresas sean proactivas, es decir, que piensen en términos de protección de datos desde el punto en que se diseña un producto o servicio que implique su tratamiento.

Para ayudar tanto a las grandes corporaciones, como a las pymes y micropymes, la Asociación Española de Protección de Datos (AEPD) ha presentado tres documentos con materiales y recursos.

En concreto, una guía, unas directrices para los contratos entre responsables y encargados del tratamiento (dos de las figuras claves de la normativa) y una completa publicación para saber qué información deben proporcionar las empresas a los ciudadanos con la RGPD y cómo hacerlo.

El primer documento, Guía del Reglamento General de Protección de Datos para responsables de tratamiento”, incluye una serie de obligaciones, recomendaciones y enlaces para ampliar información, entre los que, desde GlobalNET Solutions, destacamos los siguientes:

  • Las empresas tienen una responsabilidad proactiva, con medidas organizativas y técnicas, respecto a los datos que manejan. En concreto:

    • análisis de riesgo: en el caso de pymes, con tratamientos de poca responsabilidad, bastará con una reflexión, mínimamente documentada que deberá responder a una serie de preguntas (ver página 17 del documento);

    • registro de actividades de tratamiento: en principio, están exentas las organizaciones con menos de 250 trabajadores;

    • protección de datos desde el diseño y por defecto: debe aplicarlas el responsable con anterioridad al inicio del tratamiento y mientras se está desarrollando;

    • medidas de seguridad;

    • notificación de “violaciones de seguridad de los datos”;

    • evaluación de impacto sobre la protección de datos: las autoridades pertinentes deben, por obligación, confeccionar listas adicionales de tratamientos que requerirán de la RGPD y también de los que no, lo que no sustituye ni excluye la responsabilidad de quien trata los datos;

    • y Delegado de protección de datos: figura obligatoria en una serie de casos, cuya designación debe hacerse pública y comunicarse a las autoridades de supervisión competentes. Además, deben estar certificados por entidades acreditadas por la Entidad Nacional de Acreditación y se permite que sean externos a la organización.

  • Los encargados de ellos pueden adherirse a códigos de conducta o certificarse en el marco de los esquemas previstos por el RGPD.

  • La responsabilidad última de aplicar el tratamiento sigue siendo del responsable.

  • La información proporcionada a los interesados debe ser concisa, transparente, inteligible, de fácil acceso, con un lenguaje claro y sencillo (La LOPD solo prevé que sea expresa, sencilla e inequívoca). Asimismo, el consentimiento debe otorgarse con una clara acción afirmativa que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado. Nada de casillas premarcadas.

  • En general y con mínimas excepciones, estos son derechos de ejercicio gratuito para el interesado. Incluyen el derecho a pedir el acceso a sus datos personales, el derecho a solicitar su rectificación o supresión, el derecho a decidir la limitación de su tratamiento, el derecho a oponerse a este, y el derecho a la portabilidad de los datos.

  • Cuidado con las transferencias internacionales, fuera del espacio común europeo, que solo se pueden hacer bajo una serie de condiciones específicas.

  • El RGPD se refiere en varios lugares a los tratamientos de los datos de menores, que reciben una especial protección. Incluyen actividades de formación y sensibilización dirigidas a ellos.

Para ayudarnos en la implementación del reglamento, la guía se hace eco de la “Lista de Verificación”, que “pretende ayudar a las organizaciones a llevar a cabo de forma ordenada una valoración de su situación frente a las principales obligaciones del RGPD. Su contenido sigue el de la guía, y se presenta como un listado de preguntas que responsables y encargados deberán formularse, y responder adecuadamente, a la hora de determinar cuál es su situación ante la aplicación del RGPD” (págs. 31 y ss.).

lista de verificación - ley de protección de datos

También existe una lista simplificada cuando los responsables realizan solo un número limitado de tratamientos, con bajo nivel de riesgo para los derechos y libertades de los interesados. Esto afectará sobre todo a pymes y micropymes (págs. 34 y ss.).

En cuanto a la “Guía para el cumplimiento del deber de informar”, desde la AEPD recomiendan revisar y aplicar dicha obligación desde ya. Se refiere a la obligación de informar al interesado, por parte del responsable de tratamiento, en el momento en que se soliciten los datos y siempre antes de la recogida o registro de estos. Si proceden de fuentes indirectas y legítimas, se le notificará en un plazo razonable pero siempre antes del mes de obtención de los datos, junto con otros requisitos.

El lenguaje debe ser claro, conciso y comprensible. A modo de sugerencia de estilo, se pueden seguir estas pautas: se sugiere utilizar una exposición bien estructurada, en base a “preguntas y respuestas”, continuando con los epígrafes generales antes descritos; se debe buscar un equilibrio entre concisión y precisión, evitando circunloquios, explicaciones innecesarias o detalles confusos; y se debe evitar el abuso de citas legales, “jerga” confusa, o términos ambiguos o con escaso sentido para las personas destinatarias.

Los datos se recogen exclusivamente para fines determinados, explícitos y legítimos que hay que especificar, y no serán tratados de manera o incompatible con estos fines. En caso de que se quieran utilizar para otros objetivos, deberá informarse al interesado antes del tratamiento ulterior.

También se informará sobre la elaboración de perfiles con los datos recavados, incluyendo la importancia que tiene y sus consecuencias.

Por supuesto, desde GlobalNET Legal, estamos a tu disposición para cualquier duda o consulta, y para implementar en tu empresa, sea cual sea su tamaño, el nuevo RGPD.

Gracias por comentar y por compartir

Comparte este artículo en:Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+Email this to someone