La aplicación de este nuevo Reglamento es el cambio más importante que se produce en este ámbito desde hace muchos años y pretende armonizar todas las normativas de los estados miembros y dar más garantías de control a los ciudadanos.
Para cumplir con el Reglamento, centrándonos en el caso de las empresas, deben ser tenidas en cuenta las nuevas exigencias entre las que destacamos las cinco siguientes:
1.- REVISIÓN DE LA PROTECCIÓN DE DATOS EN EL ASPECTO INFORMÁTICO Y LEGAL
Debe auditarse el estado en el que se encuentra el cumplimiento de la normativa de protección de datos en la empresa. Esta auditoría ha de realizarse antes de actualizar las políticas, los protocolos y los textos relativos al tratamiento de datos personales.
RECOMENDACIÓN:
Auditar, con un equipo de profesionales jurídicos e informáticos, y documentar el cumplimiento de la normativa de protección de datos, en relación con el RGPD, antes de iniciar operaciones de adecuación al Reglamento.
2.- ANALISIS DE RIESGOS
Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.
Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse las medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.
El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.
El RGPD desplaza a las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo. Los artículos 25 y 32 del RGPD recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos ficheros, por lo que se hará necesario que las empresas lleven a cabo un análisis de riesgo
RECOMENDACIÓN:
Realizar un análisis de riesgo con profesionales informáticos y de esta forma saber qué medidas técnicas deben implementarse en cada caso y cuales son obligadas en cada empresa, en especial en lo que se refiere al cifrado de datos.
3.- EVALUACIÓN DE IMPACTO
Determinadas empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales. En particular, cuando sea probable que un tipo de tratamiento, sobre todo si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:
• Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
• Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
• Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.
Esta evaluación de impacto también podrán realizarla aquellos responsables que vayan a realizar un tratamiento a gran escala u operaciones de tratamiento que entrañen un alto riesgo para las personas.
La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos; mientras que la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.
RECOMENDACIÓN:
Realizar y documentar un análisis de impacto en los casos en que sea obligatorio o recomendable.
4.- DEBER DE INFORMACIÓN
El RGPD amplía la información que debe ser comunicada en el momento de recabar datos personales.
Con la antigua LOPD, los datos que -aún, a día de hoy- deben ser facilitados son los siguientes (art. 5 LOPD):
• finalidad
• destinatarios ficheros
• obligación o no de la entrega y sus consecuencias
• los derechos del interesado
• la identidad del responsable
A los anteriores indicados, con el RGPD se suman los siguientes (art. 13 RGPD):
• la base jurídica del tratamiento
• el tiempo máximo que se mantendrán los datos
• la identificación, si procede, del Delegado de Protección de datos
• si habrá o no trasferencia internacional de datos
• el derecho a presentar una reclamación
• la existencia o no de decisiones automatizadas.
En relación con los derechos conocidos por el acrónimo ARCO, el RGPD los cambia y actualiza. Los nuevos ARCO, sobre los que hay que informar, ahora son los derechos siguientes: acceso, rectificación, supresión, limitación, portabilidad, y oposición.
Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Guía para el cumplimiento del deber de informar.
RECOMENDACIÓN:
Adaptar los protocolos internos para el cumplimiento del deber de informar, de la AEPD. A continuación, editar primero los avisos de privacidad de la web de la empresa y de otros documentos, para adaptarlos al RGPD (ejemplo: aviso legal ).
5.- CONTRATOS DE ENCARGADO DEL TRATAMIENTO
Los Contratos de Encargados del Tratamiento, que las empresas mantienen con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con el RGPD.
El contrato tiene que constar por escrito y deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.
Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.
Recomendación:
Disponer de los nuevos modelos de contrato y empezar a utilizarlos lo antes posible.
