Es importante que las empresas se preparen para el nuevo tratamiento de datos que comenzará a aplicarse el 25 de mayo de 2018 a más tardar, como consecuencia de la entrada en vigor de la Directiva (UE) 2016/680 que aprueba el nuevo Reglamento General de Protección de Datos (RGPD), sustituyendo en nuestro país al de 1995.
Dos años han dado las autoridades europeas para que las entidades, organismos públicos y empresas que tratan datos personales de ciudadanos, clientes y empleados puedan adaptarse a la nueva normativa dada la importancia de esta reforma. Desde Asesoría FCH colaboramos con profesionales especializados en la protección de datos a fin de darte un servicio integral, que cubra todas las necesidades de tu empresa.
Las empresas deben tener presente que incumplir las normas de privacidad de la información que almacenen sobre sus clientes y trabajadores puede dar lugar a sanciones de hasta 20 millones de euros o el 4% de la facturación anual del negocio. Sin embargo, el proceso de adaptación al nuevo RGPD será demasiado lento y se prevé que hasta un 70% de compañías europeas no logre cumplir el plazo de adaptación fijado. Esta situación es más alarmante entre las pequeñas y medianas empresas dado que muchas de ellas ni siquiera conocen que existe un reglamento que ha sido poco divulgado.
Por su parte, los expertos consideran que todavía se está a tiempo de adaptarse a la nueva normativa y para ello recomiendan lo siguiente:
- Evaluación previa. Antes de dedicar recursos y dinero para la compra de herramientas o tecnología, se recomienda tener en cuenta los siguientes parámetros:
- Evaluar el programa ya existente de seguridad de la empresa.
- Saber cuál es la política y procedimientos de protección de datos.
- Asegurar que se tienen acuerdos sobre el tema y comprobar que las notificaciones están en orden.
Es necesario, en suma, comenzar construyendo la infraestructura alrededor de la protección de datos y construir un programa de privacidad acorde.
- Datos a proteger. Así mismo, es importante disponer de un registro del tratamiento de las actividades y medidas preventivas para que no ocurra un ataque. Y para ello, hay que conocer bien qué datos y en qué sistemas se manejan, quién tiene acceso a ellos y para qué se utilizan. Se trataría en esencia de realizar una valoración previa del riesgo del tratamiento de datos y adoptar en consecuencia las medidas exigibles para su protección.
- Registro de las actividades. Aunque el nuevo RGPD elimina la obligación de registrar los ficheros, «cada responsable y, en su caso, su representante debe llevar un registro de las actividades de tratamiento, efectuadas bajo su responsabilidad.» Dicho registro deberá contener unos campos mínimos recogidos en la normativa. Quedan exentas, las empresas que empleen a menos de 250 trabajadores, salvo que el tratamiento afecte a categorías especiales de datos.
- Datos «desde el diseño» y «por defecto». La protección de datos desde el diseño implica que el Responsable debe adoptar las medidas técnicas y organizativas apropiadas atendiendo a su «contexto» para la protección de datos. Por el contrario, la protección de datos por defecto implica que esas medidas preventivas y organizativas aplicadas por el Responsable, deben garantizar que por defecto, solo sean objeto de tratamiento los datos necesarios para cada uno de los fines específicos del tratamiento.
- Datos personales. No se establecen categorías de datos ni medidas de seguridad concretas. No obstante, el Responsable y el Encargado tienen que aplicar medidas técnicas y organizativas apropiadas atendiendo al nivel de seguridad adecuado al riesgo. Entre estas medidas cabe destacar el cifrado de datos personales o la capacidad de garantizar la confidencialidad, la capacidad de restaurar la disponibilidad en caso de incidente físico o técnico, y el acceso a los datos personales de forma rápida, a través de un proceso de verificación.
- Quiebras de seguridad. El Reglamento define, lo que denomina «quiebras de seguridad» e incluye de forma amplia «destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.». La notificación a la Autoridad debe producirse dentro de las 72 horas siguientes desde que se tenga constancia de ella.
- Evaluación de impacto sobre la protección de datos. Cuando el tratamiento de datos conlleve un alto riego para los derechos y libertades de los interesados, los responsables de datos deben de realizar una «Evaluación de impacto sobre la Protección de Datos», con carácter previo a la puesta en marcha del tratamiento.
- Delegado de Protección de Datos: puede ser bien personal interno o externo y el Reglamento europeo obliga a que cualquier empresa que trate información deberá contar con esta figura. La prestación de sus servicios deberá ser publicada y comunicada a la autoridad de control.
- Derechos ARCO. El RGPD modifica la gestión de los derechos de Acceso, Rectificación, Cancelación y Oposición, los llamados derechos ARCO. Se mantiene la gratuidad, pero si la solicitud es «manifiestamente infundada o excesiva» el Responsable puede negarse a responder. No obstante, el Responsable deberá facilitar una copia de los datos personales objeto del tratamiento. El Reglamento regula por otra parte expresamente el conocido derecho al olvido y concede a los herederos la posibilidad de poder acceder, rectificar, o suprimir los datos de los fallecidos. Existe la posibilidad incluso de que el titular de los datos, antes de su fallecimiento, indique el tratamiento de sus datos personales.
La Agencia Española de Protección de Datos (AEPD) ha diseñado “Facilita RGPD”, para ayudar a las empresas y profesionales que traten datos personales de escaso riesgo a cumplir con el nuevo RGPD. Se trata de una herramienta planteada como un cuestionario online con una duración máxima de 20 minutos con el que las empresas y profesionales pueden, en primer lugar, constatar a través de una serie de preguntas que los datos que tratan pueden considerarse de bajo riesgo y, en segundo lugar, obtener los documentos mínimos indispensables para facilitar el cumplimiento del RGPD al terminar el test. La información que las empresas aporten –y que la AEPD no conserva ni monitoriza de forma alguna— les permitirá obtener esos documentos casi completados. Esas plantillas incluyen los requerimientos básicos marcados por el RGPD, como el registro de actividades de tratamiento, la cláusula informativa, las cláusulas que deberían incluirse si la empresa contrata con un encargado del tratamiento (una gestoría, por ejemplo) y un anexo con las medidas de seguridad mínimas.
El test está dividido en cuatro bloques.
- La organización debe seleccionar cuál es su sector de actividad y el tipo de datos que trata.
- Una vez comprobado que los tratamientos que realiza entrañan, a priori, un escaso nivel de riesgo para los derechos y libertades de las personas, «Facilita RGPD» pedirá al Responsable que aporte cierta información sobre su empresa (nombre, dirección, CIF o teléfono, entre otros).
- La aplicación solicitará información sobre los tratamientos que realiza (clientes, empleados, currículum de candidatos, etc.)
- Con la información aportada, se generarán los documentos mínimos indispensables para facilitar el cumplimiento del RGPD.
«Facilita RGPD» se suma así a otras iniciativas que la Agencia ha puesto en marcha para promover el cumplimiento del nuevo Reglamento, entre las que también hay que destacar el Esquema de certificación de Delegados de Protección de Datos que ofrece seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que vayan a contratar sus servicios.
No obstante, si necesitas alguna aclaración o más información al respecto, no dudes en ponerte en contacto con nosotros, con Asesoría FCH. Nos tienes disponibles por aquí y en nuestra oficina en Vélez-Málaga
¡Será un placer atenderte!