El Reglamento General de Protección de Datos (RGPD) constituye el nuevo marco jurídico que entrará en vigor el 25 de mayo de 2018 en la Unión Europea (UE). Los reglamentos de la UE son de aplicabilidad directa en todos sus Estados miembros, por lo que el RGPD tendrá prioridad sobre las legislaciones nacionales.
El objetivo del RGPD es la protección de los datos personales, es decir, los relativos a personas físicas. De hecho, el RGPD es una de las mayores reestructuraciones de cómo debería ser el tratamiento de los datos personales y puede llegar a afectar no solo a las empresas, sino a cualquier persona, entidad, autoridad pública, servicio u otro organismo que procese datos personales de quienes residan en la UE.
1.- Análisis de protección de datos legal + informática
Debe auditarse el estado en el que se encuentra el cumplimiento de la normativa de protección de datos en la empresa. Esta auditoría ha de realizarse antes de actualizar las políticas, los protocolos y los textos relativos al tratamiento de datos personales.
El equipo auditor debe estar formado por profesionales del ámbito jurídico e informático. El RGPD, en su artículo 25, determina qué tipo de medidas técnicas y organizativas se deben implementar, retirando el listado tradicional de la LOPD e imponiendo uno que debe ser creado de forma personalizada para cada empresa. Así pues, para dar cumplimiento a la norma, el equipo auditor debe estar formado por:
•Profesionales con conocimientos jurídicos especializados en protección de datos.
•Profesionales informáticos con conocimientos especializados en seguridad informática.
Una auditoría (interna o externa) correcta de protección de datos exige contar con perfiles informáticos, no bastando con que el jurista tenga un blog, lea revistas de hackers o sepa usar clientes SSH. El personal contratado debe ser informático y tener conocimientos teóricos y prácticos actualizados de seguridad informática para poder auditar de forma real los sistemas.
Para ayudar a cumplir mejor el RGPD, la AEPD ha publicado este documento: Guía del Reglamento General de Protección de Datos para responsables de tratamiento.
Recomendación: Auditar, con un equipo de profesionales jurídicos e informáticos, y documentar el cumplimiento de la normativa de protección de datos, en relación con el RGPD, antes de iniciar operaciones de adecuación al Reglamento.
2.- Deber de información
El RGPD amplía la información que debe ser comunicada en el momento de recabar datos personales.
Con la antigua LOPD, los datos que -aún, a día de hoy- deben ser facilitados son los siguientes (art. 5 LOPD):
- finalidad
- destinatarios ficheros
- obligación o no de la entrega y sus consecuencias
- los derechos del interesado
- la identidad del responsable
A los anteriores indicados, con el RGPD se suman los siguientes (art. 13 RGPD):
- la base jurídica del tratamiento
- el tiempo máximo que se mantendrán los datos
- la identificación, si procede, del Delegado de Protección de datos
- si habrá o no trasferencia internacional de datos
- el derecho a presentar una reclamación
- la existencia o no de decisiones automatizadas.
En relación con los derechos conocidos por el acrónimo ARCO, el RGPD los cambia y actualiza. Los nuevos ARCO, sobre los que hay que informar, ahora son los derechos siguientes: acceso, rectificación, supresión, limitación, portabilidad, y oposición.
Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Guía para el cumplimiento del deber de informar.
Recomendación: Leer la Guía para el cumplimiento del deber de informar, de la AEPD. A continuación, editar primero los avisos de privacidad de la web de la empresa para adaptarlos al RGPD con el fin de adquirir soltura (ejemplo: aviso legal de Abanlex). De esta forma, al incluirlos en contratos y formularios se hará de forma más natural.
3.- Contratos de Encargado del Tratamiento
Los Contratos de Encargados del Tratamiento, que las empresas mantienen con terceros para el tratamiento de datos de los que son responsables, también tendrán que ser actualizados para cumplir con el RGPD.
El contrato tiene que constar por escrito y deberá detallar las instrucciones del responsable al encargado en relación con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.
Para ayudar a cumplir mejor este derecho, la AEPD ha publicado este documento: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.
Recomendación: Empezar a usar el modelo de contrato incluido en el anexo de las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento, de la AEPD. Se debe mejorar y personalizar este documento para adaptarlo al caso concreto.
4.- Análisis de riesgo
Todas las empresas, sin excepción, deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.
Este análisis, así como la selección de las soluciones, debe realizarse teniendo en cuenta el estado de la técnica (art. 25 RGPD). Es decir, deben implementarse las medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.
El análisis de riesgo debe ser una actividad viva en la empresa. Debido a que la norma exige la actualización constante de las medidas de seguridad y al aumento de los delitos informáticos, la empresa debe establecer un sistema de vigilancia que haga revisiones periódicas y siempre que cambien circunstancias tecnológicas tanto en la empresa como en el sector informático.
La LOPD recogía una serie de medidas de seguridad que debían ser implementadas y aplicadas por las empresas que tratasen datos personales en función del tipo de datos o de su tratamiento.
El RGPD desplaza a las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo. Los artículos 25 y 32 del RGPD recogen que las medidas de seguridad tendrán que ser adecuadas al riesgo que exista sobre los distintos ficheros, por lo que se hará necesario que las empresas lleven a cabo un análisis de riesgo.
Para ayudar a entender qué tipos de empresas están obligadas a cifrar en España, Abanlex y ESET hemos publicado este documento: Guía sobre el Reglamento General de Protección de Datos.
Recomendación: Realizar y documentar un análisis de riesgo con profesionales informáticos internos o externos. Para el seguimiento, nombrar a un responsable interno y contratar un servicio externo de resolución de consultas concretas legales y de seguridad informática.
5.- Evaluación de impacto
Determinadas empresas deberán evaluar el impacto que los tratamientos de datos que realizan tienen sobre la protección de datos personales. En particular, cuando sea probable que un tipo de tratamiento, sobre todo si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas.
Las principales empresas que deberán realizar esta evaluación de impacto, generalizando los términos, son:
- Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
- Empresas que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
- Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.
Esta evaluación de impacto también podrán realizarla aquellos responsables que vayan a realizar un tratamiento a gran escala u operaciones de tratamiento que entrañen un alto riesgo para las personas.
La diferencia entre la evaluación de impacto y el análisis de riesgo es que la primera se centra en medir el riesgo para los derechos y libertades de las personas físicas, en relación con la protección de datos; mientras que la segunda analiza las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas para impedir, bloquear o neutralizar los ataques.
Recomendación: Realizar y documentar un análisis de impacto en los casos en que sea obligatorio o recomendable.
6.- Delegado de Protección de Datos – DPO o DPD
El DPO será designado “atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones” indicadas en el RGPD, según el artículo 35 del RGPD.
Se debe señalar que el DPO no tiene por qué ser abogado ni tener un máster en protección de datos u otro certificado similar. Lo más habitual será, por tanto, que se nombre DPO a un profesional licenciado o graduado en Derecho, no necesariamente abogado, con más de 4 años (lo recomendable sería más de 10 años) de práctica en protección de datos.
El RGPD recoge la obligación, para determinadas empresas de contar con un DPO. Algunas de estas obligadas, además de las autoridades u organismos públicos, son, generalizando los términos, las siguientes:
- Empresas que lleven a cabo una observación habitual y sistemática de interesados.
- Empresas que traten a gran escala categorías especiales de datos.
Las empresas que no encajen en esta clasificación pueden valorar contar con esta figura, que tendrá como funciones la gestión y el control de la protección de datos dentro de la empresa, así como actuar como punto de contacto entre esta y la AEPD.
Recomendación: Nombrar a un responsable interno y contratar un servicio externo de resolución de consultas especializadas y para disfrutar de un servicio de seguimiento jurídico.
0 comentarios