PROTECCION DE DATOS

SERVICIO DE ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD)

El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

Este Reglamento se aplica a todas aquellas entidades que traten datos de carácter personal que se encuentren dentro de la Unión Europea. También se aplicaran a responsables y encargados no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión. Este Reglamento supone un mayor compromiso de las empresas y organizaciones con la Protección de Datos.

¿Qué novedades aporta el RGPD?

  1. Se amplía la información que se les debe dar a los interesados en relación con el tratamiento de sus datos, así como a sus derechos en esta materia.
  2. Se incorpora el concepto de privacidad desde el diseño, lo cual se traduce en que la elaboración de los procedimientos empresariales se tiene que realizar teniendo en cuenta la protección de datos desde un primer momento.
  3. La nueva normativa exige que las violaciones en la seguridadque puedan afectar a los datos personales sean notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente  (Agencia Española de Protección de Datos). Si además si en esa violación se pueden ver afectado datos de carácter sensible y con gran repercusión a los afectados, también se lo deberá notificar a estos mismos.
  4. Desaparece la obligación de registrar los ficheros ante la Autoridad de Control correspondiente. No obstante, obliga a llevar un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad
  5. Aparece el concepto de “Proactividad”, también llamadoAccountability. Esta responsabilidad activa se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos personales. Son las empresas y entidades las que deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece. El RGPD entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar.
  6. El punto anterior lleva a que todas las organizaciones que tratan datos deben efectuar un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser procedimientos sencillos en entidades que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos, o trabajos más complejos, en entidades que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos.
  7. Del análisis de riego surgen las Evaluaciones de Impacto, éstas  son la principal medida de responsabilidad proactiva. Se trata de un análisis de los riesgos previos que puede acarrear un determinado sistema de información, producto o servicio al derecho a la protección de datos.
  8. Aparece la figura del Delegado de Protección de Datos (DPO o DPD). Se trata de una nueva figura de responsabilidad dentro de la entidad. El DPO, se encargará de la planificación de las medidas de seguridad aplicables a los tratamientos de datos. así como la gestión de los mismos. Éste servirá de enlace entre la empresa y la autoridad de control. Solo es obligatorio en determinados casos.

Actuaciones a realizar por parte de NORAY para el Sector Privado:

  1. Estudio de la necesidad de designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD). Ver si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, se identificará a la/s persona/s responsables de COORDINAR LA ADAPTACIÓN.
  2. Elaborar el         REGISTRO        ACTIVIDADES         DE      TRATAMIENTO
  3. Adecuar los FORMULARIOS al derecho de información
  4. Adaptar los MECANISMOS Y PROCEDIMIENTOS para el ejercicio de derechos
  5. Valorar si los ENCARGADOS ofrecen garantías y adaptación de contratos
  6. Elaborar / Adaptar POLÍTICA DE PRIVACIDAD
  7. Realizar un ANÁLISIS DE RIESGOS (En caso necesario)
  8. Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos
  9. Establecer mecanismos y procedimiento de NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD
  10. A partir de los resultados del análisis de riesgos, realizar, si fuera necesario, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS

Actuaciones a realizar por parte de NORAY para el Sector Público:

  1. DESIGNAR UN DELEGADO de Protección de Datos.
  2. ELABORAR el Registro de Actividades de tratamiento, prestando atención especialmente a los tratamientos que incluyan categorías especiales de datos o datos de menores, teniendo en cuenta su finalidad y la base jurídica
  3. ANALIZAR las BASES JURÍDICAS de los TRATAMIENTOS
  4. EFECTUAR UN ANÁLISIS DE RIESGOS. Sobre los resultados de ese análisis, identificar e implantar las MEDIDAS TÉCNICAS Y ORGANIZATIVAS necesarias para hacer frente a los riesgos detectados sobre los derechos y libertades de los ciudadanos
  5. VERIFICAR LAS MEDIDAS DE SEGURIDAD tras el resultado del análisis de riesgos. Ello incluye verificar la aplicación de medidas de seguridad adecuadas, así como ESTABLECER PROTOCOLOS PARA GESTIONAR Y, EN SU CASO, NOTIFICAR quiebras de seguridad.
  6. SI EL TRATAMIENTO ES DE ALTO RIESGO, DETALLAR E IMPLANTAR UN PROCEDIMIENTO para realizar, una evaluación de impacto de la privacidad y, si fuera necesario, consultar previamente a la autoridad de control.
  7. ADECUAR LOS FORMULARIOS para adaptar el derecho de información a los requisitos del RGPD.
  8. ADAPTAR LOS PROCEDIMIENTOS para atender los derechos de los ciudadanos, habilitando medios electrónicos.
  9. ESTABLECER Y REVISAR LOS PROCEDIMIENTOS para acreditar el consentimiento y garantizar la posibilidad de revocarlo.
  10. VALORAR SI LOS ENCARGADOS DE TRATAMIENTO OFRECEN GARANTÍAS de cumplimiento del RGPD y adaptar los contratos elaborados previamente.
  11. CONFECCIONAR E IMPLANTAR POLÍTICAS DE PROTECCIÓN DE DATOS que contemplen los requisitos del RGPD (art. 24, 25, 30) y poder acreditar su cumplimiento.
  12. ELABORAR Y LLEVAR A CABO UN PLAN DE FORMACIÓN Y CONCIENCIACIÓN para los empleados.

Comentarios bloqueados.

Noray Consultores | Calidad, Medio Ambiente y Gestión Patrimonial