Reglamento General de Protección de datos – RGPD

Como todos sabréis, mañana día 25 de mayo de 2018 comienza la aplicación de la nueva ley de protección de datos (RGPD), que entró en vigor el 25 de mayo de 2016.
Sustituirá a la actual normativa vigente. Este periodo de gracia tuvo como objetivo que los Estados de la Unión Europea, las Instituciones y también las organizaciones se prepararan y adaptaran para aplicar la ley.

Os dejo un documento con el reglamento completo:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf

1.- ANÁLISIS DE PROTECCIÓN DE DATOS LEGAL Y SEGURIDAD INFORMÁTICA
Se Auditara el estado en el que se encuentra el cumplimiento de LOPD de la empresa. El equipo auditor debe estar formado por profesionales del ámbito jurídico e informático.

Para el cumplimiento del RGPD, la AEPD ha publicado este documento: Guía del Reglamento General de Protección de Datos para responsables de tratamiento.

2.- DEBER DE INFORMACIÓN
El RGPD amplía la información que debe ser comunicada en el momento de recabar datos personales.

Con la antigua LOPD:

finalidad
destinatarios ficheros
obligación o no de la entrega y sus consecuencias
los derechos del interesado
la identidad del responsable

A los anteriores, con el RGPD se suman lo siguiente:

la base jurídica del tratamiento
el tiempo máximo que se mantendrán los datos
la identificación, si procede, del Delegado de Protección de datos
si habrá o no trasferencia internacional de datos
el derecho a presentar una reclamación
la existencia o no de decisiones automatizadas.
En relación con los derechos conocidos por el acrónimo ARCO, el RGPD los cambia y actualiza. Los nuevos ARCO, sobre los que hay que informar, ahora son los derechos siguientes: acceso, rectificación, supresión, limitación, portabilidad, y oposición.

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Guía para el cumplimiento del deber de informar.

3.- CONTRATOS DE ENCARGADO DEL TRATAMIENTO
Los Contratos de Encargados del Tratamiento de datos, tendrán que ser actualizados para cumplir con el RGPD.

El contrato, por escrito, deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.

Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

4.- ANÁLISIS DE RIESGO
Todas las empresas deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.

El RGPD desplaza a las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo. Los artículos 25 y 32 del RGPD recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos ficheros, por lo que se hará necesario que las empresas lleven a cabo un análisis de riesgo.

Para ayudar a entender qué tipos de empresas están obligadas a cifrar en España, Abanlex y ESET han publicado este documento: Guía sobre el Reglamento General de Protección de Datos.

5.- EVALUACIÓN DE IMPACTO
Las empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales.

Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:

Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.
Esta evaluación de impacto también podrán realizarla aquellos responsables que vayan a realizar un tratamiento a gran escala u operaciones de tratamiento que entrañen un alto riesgo para las personas.

6.- DELEGADO DE PROTECCIÓN DE DATOS – DPO O DPD
El DPO será designado “atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones” indicadas en el RGPD, según el artículo 35 del RGPD.

Se debe señalar que el DPO no tiene por qué ser abogado ni tener un máster en protección de datos u otro certificado similar. Lo más habitual será, por tanto, que se nombre DPO a un profesional licenciado o graduado en Derecho, no necesariamente abogado, con más de 4 años (lo recomendable sería más de 10 años) de práctica en protección de datos.

El RGPD recoge la obligación, para determinadas empresas de contar con un DPO. Algunas de estas obligadas, además de las autoridades u organismos públicos, son, generalizando los términos, las siguientes:

Empresas que lleven a cabo una observación habitual y sistemática de interesados.
Empresas que traten a gran escala categorías especiales de datos.
Las empresas que no encajen en esta clasificación pueden valorar contar con esta figura, que tendrá como funciones la gestión y el control de la protección de datos dentro de la empresa, así como actuar como punto de contacto entre esta y la AEPD.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable de los datos: Jesús Blázquez Martín

Finalidad de los datos: Gestión de solicitudes

Almacenamiento de los datos: Base de datos alojada en AWS (Amazon Web Services)

Derechos: En cualquier momento puedes portar, limitar, recuperar y borrar tu información, solicitándolo a undiaenmi@hotmail.com.