¿Qué debe tener en cuenta la empresa/entidad para cumplir en protección de datos?
El nuevo Reglamento General de Protección de Datos (RGPD) y nuestra Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)señalan un conjunto de principios que los responsables y encargados del tratamiento deben observar al tratar datos personales:
- El principio fundamental que guía la normativa aplicable en nuestro país es el Principio responsabilidad proactiva, es decir hay que anticiparse a que los datos estén bien tratados sin esperar a que nadie nos lo exija.
Anteriormente bastaba con aplicar un protocolo de protección de datos, sin embargo hoy en día las obligaciones son más fuertes porque este principio implica que hay que hacer acciones constantemente y de forma periódica para mantener la protección de los datos en orden y al día.
Los responsables aplicarán las medidas técnicas y organizativas apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el Reglamento.
Hay que tener siempre en cuenta que un dato de carácter personal es una imagen, un nombre, un apellido, una dirección de correo electrónico… cualquier dato que te permita identificar a una persona física.
Para garantizar cumplir con la normativa, hay que cumplir con una serie de puntos que garanticen lo expuesto:
- Registro de Actividades del Tratamiento – RAT
Es un documento que debe estar a disposición de la autoridad y que recoge cuales son los tratamientos que aplicas a los datos que manejas.
Obliga a las empresas a documentar los flujos de datos personales que ocurren dentro de la empresa u organización.
Cada responsable y, en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho documento debe contener la siguiente información:
- El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
- Los fines del tratamiento;
- Una descripción de las categorías de interesados y de las categorías de datos personales;
- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
- En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo2, la documentación de garantías adecuadas;
- Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
- Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad
- Análisis de riesgos y adopción de medidas de seguridad
La empresa debe contar con un documento que compile el análisis del riesgo y la evaluación del impacto sobre el tratamiento de datos de los usuarios. Esto ayudará a elaborar las medidas de seguridad necesarias para evitar cualquier vulneración de datos. Este análisis debe realizarse de forma periódica para ir actualizando los riesgos potenciales que puedan aparecer con el paso del tiempo.
Las medidas de seguridad son esenciales para garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales. No existen una lista estática de medidas establecidas por la norma, por lo que corresponde al responsable determinarlas en cada caso.
La normativa establece que las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo se definen en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas.
En definitiva el primer paso para determinar las medidas de seguridad será el análisis del riesgo, una vez evaluado el riesgo será necesario determinar las medidas de seguridad encaminadas para reducir o eliminar los riesgos para el tratamiento de los datos, ajustándolo a la realidad de su empresa.
Algunos ejemplos de medidas de seguridad:
- Automatizadas:
Copias de seguridad, política de contraseñas, cortafuegos, antivirus, cifrado…
- No automatizadas:
Ficheros bajo llave, registro de accesos, destructora de papel…
- Protocolos de actuación si se produjese brecha de seguridad
Ante cualquier incidente que provoque vulneración de seguridad, la empresa debe informar a los usuarios, clientes y empresas subsidiarias afectadas. Este incidente puede tener un origen accidental o intencionado, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales, tanto sobre los datos tratados digitalmente como en formato papel.
En la normativa se establecen dos medidas a seguir en caso de sufrir una brecha de seguridad:
- La obligación de comunicación a la Autoridad de Control, en este caso a la Agencia Española de Protección de Datos, en el plazo máximo de 72 horas. (Existe un formulario de notificación de brechas de seguridad disponible en la Sede Electrónica de la Agencia)
- La comunicación a los interesados/ afectados, siempre y cuando la violación de datos entrañe un alto riesgo para los derechos y libertades de estos.( El concepto de que la violación de datos afecte a “derechos y libertades” es ambiguo y resulta poco claro. Habrá que estar al caso concreto para determinar si se debe comunicar o no a los interesados.)
La empresa debe tener implementado un protocolo de notificación, gestión y respuesta para dichas violaciones, que deben conocer todos los empleados.
- Página Web:
La Ley de Servicios de Sociedad de la Información y Comercio Electrónico es la que regula los requisitos legales que deben cumplir las páginas web. Obliga a informar de forma inequívoca en nuestra página web e insertar los siguientes puntos:
Política de privacidad : Aceptación expresa de la Política de Privacidad. Casillas NO premarcadas. Un consentimiento por cada finalidad para la que se recaban los datos.
Política de cookies: No basta informar, además es necesario que el usuario acepte, que preste consentimiento.
Aviso legal
Condiciones generales de venta o de contratación (en el caso de comercio online): En las ventas a distancia es muy importante incluir el derecho de desistimiento en las condiciones de uso. Si no se incluye, los 14 días naturales para desistir del contrato se convierten en un año y 14 días desde la recepción del producto.
- DELEGADO DE PROTECCIÓN DE DATOS (DPO):
Es una figura obligatoria para ciertas empresas, facultativa para el resto. Sus datos deben comunicarse tanto a clientes como a AEPD. Por ejemplo, la HOAC tiene designado al despacho Equal Consulting, S.L.P. (conocido por su “marca” Equal Protección de Datos, despacho de abogados especializado) como DPO.
Funciones:
Asesorar y supervisar al responsable o al encargado del tratamiento. Supervisar el cumplimiento de lo previsto en el Reglamento. Cooperar con la autoridad de control. Actuar como punto de contacto entre la Agencia Española de Protección de Datos (AEPD) y los clientes.
Esa empresa o persona será la responsable de velar por el cumplimiento del RGPD. Principalmente, deberá asegurarse de que la empresa cumpla con las obligaciones que estipula la ley. Además, deberá adaptar los procesos y normativas internas para garantizar que los usuarios puedan ejercer sus derechos sobre sus datos personales.
Enlaces de interés