Protección de datos

Protección de datos, adaptación al nuevo reglamento

El nuevo Reglamento Europeo de Protección de Datos, que afecta a todo tipo de empresas y entidades, supone un cambio de concepto respecto a las responsabilidades en la gestión de datos personales y por tanto requiere de una gran adaptación de los sistemas que se utilizan actualmente. El reglamento estableció el 25 de mayo de 2018 como fecha límite para su implementación.

teclado-seguridad

Pasos a seguir para la adaptación

Analisis del punto de partida, definición del alcance, descripción de las actividades de tratamiento y evaluación preliminar de riesgos.

Identificación e inventario de actividades de tratamiento - Identificación de las actividades e inventario - Análisis de riesgo de la actividad - Medidas de seguridad por actividad - Evaluación del cumplimiento RGPD por actividad

Evaluación de riesgos aplicables a la a-ctividad. - Selección de riesgos aplicables a la actividad. - Valoración del riesgo: seguridad por probabilidad - Matriz de riesgos de seguridad y resiliencia del sistema.

Inventario de Dptos., función, usuarios por actividad de tratamiento y medios de tratamiento (informáticos y otros)

Revisión del cumplimiento y seguimiento continuo.

Principales nuevas obligaciones

NUEVO RGPD
LOPD
Ficheros
El inventario de tratamientos: más amplio, documento obligatorio. Buena base de trabajo.
Inscripción de ficheros. Se asemeja a tratamientos si adaptamos el concepto. Buena base de partida.
Consentimiento
El consentimiento: declaración afirmativa o una clara acción afirmativa para la prestación del mismo, no admitiéndose por tanto el consentimiento táctico, ha de ser un consentimiento explícito.
La información de derechos ARCO y cómo ejercerlos. Consentimiento inequívoco.
Derechos
ARCO + dos derechos adicionales: limitación y portabilidad. Cambios en las condiciones en que se deben dar los derechos.
Derecho ARCO: Acceso, Rectificación, Cancelación, Oposición.
Acceso a la información
1 mes (prorroglable a 2 meses)
10 días hábiles.
Privacidad
Por diseño y por defecto – Diseño proactivo del sistema.
La adaptación y la información.
Seguridad
Evaluación de impacto en PD y consulta previa.
En función de los artículos de la Ley y el Reglamento.
Transferencias internacionales
Privacy shield: no necesita autorización de la AEPD en más casos.
Safe Harbor: necesidad de autorización de la AEPD.
Responsable
El delegado de Protección de Datos (DPO), la indepencia en el asesoramiento y comunicación a responsables, autoridades y usuarios. Obligatorio en 3 supuestos.
El Responsable de Seguridad. La organización de la seguridad de la información personal solo internamente.
Normas de conducta
Certifiación, códigos de conducta, normas corporativas vinculantes, cláusulas tipo protección de datos y decisiones de adecuación (Privacy shield)
Referencias superficiales a códigos de conducta.
dos-personas-saltando

Oportunidades

El proceso de adaptación al Reglamento de Protección
de Datos puede suponer una oportunidad de mejora
en varios ámbitos:

Sanciones

Las sanciones establecidas en el RGPD son multas administrativas individuales, efectivas proporcionales y disuasorias.

Dichas multas detalladas en el artículo 83 pueden alcanzar, según la infracción cometida y los atenuantes y agravantes que se puedan aplicar al caso, hasta 20 millones de euros o, en el caso de las empresas, hasta el 4% del volumen de negocio global del año anterior.

rostro-de-mujer