• Home
  • Nueva Normativa Protección de Datos RGPD

Nueva Normativa Protección de Datos RGPD

  • 17 de noviembre de 2017

¿Preparado la nueva normativa en protección de datos?

En esta nueva entrada en nuestro blog, queremos compartir la necesidad de ir adaptando cada organización a la nueva normativa en protección de datos ante la que estamos a las puertas. Para ello dentro de cada organización, tenemos que asegurarnos que los tomadores de las decisiones y las personas clave en nuestra organización son conscientes del cambio al RGPD (Registro General de Protección de Datos). Hay que tener en cuenta el impacto que este cambio puede tener e identificar áreas que podrían causar problemas de cumplimiento bajo del RGPD.

Documentación datos personales

Es tarea principal dentro de cualquier organización para cumplir con la normativa en protección de datos, la de documentar los datos personales que se tienen, su procedencia y con quién se comparten. De la misma manera se puede necesitar llevar a cabo una auditoría de información, en toda la organización o en áreas de negocio particulares.

El RGPD actualiza los derechos de un mundo en red. Con un ejemplo seguramente se verá más claro, proponemos la siguiente situación: se dispone de datos personales inexactos y que han sido compartidos con otra empresa/organización. En este caso se deberá de informar a la otra organización sobre la inexactitud para que pueda corregir sus propios registros. No se podrá realizar este traspaso de información a menos que se conozca qué datos personales se tienen, de dónde proceden y con quién se comparten. Por ello la necesidad de tenerlo correctamente documentado.

Por otro lado, también será de mucha ayuda cumplir con la normativa, el principio de rendición de cuentas del RGPD, que requiere que las organizaciones puedan mostrar cómo cumplen con los principios de protección de datos, por ejemplo, mediante políticas y procedimientos eficaces.

Otro aspecto a revisar para el cumplimiento de la normativa, es la revisión de los avisos de privacidad que se tienen establecidos actualmente y establecer un plan para hacer los cambios necesarios en el tiempo para la implementación del RGPD.

Con la entrada en vigor de RGPD, hay algunas consideraciones adicionales de las que por parte de la empresa certificadora de la normativa en protección de datos se debe informar. Por ejemplo, se tiene que explicar su base legal para procesar los datos, sus períodos de retención de datos, y también, del derecho de las personas a presentar una queja ante la autoridad de control si piensan que hay un problema con la forma en que están manejando sus datos. Además, el RGPD requiere que la información se proporcione en un lenguaje conciso, fácil de entender y claro. La UE establece un código de prácticas sobre los avisos de privacidad que refleja los nuevos requisitos del RGPD.

Un punto importante es la necesidad de revisar los procedimientos establecidos para asegurarse que se cubren todos los derechos que tienen las personas, incluyendo, cómo eliminar datos personales o cómo proporcionar datos electrónicamente.

Los principales derechos de las personas bajo el RGPD serán:

  • Corrección de las inexactitudes.
  • Posibilidad de eliminar información.
  • Evitar la comercialización directa.
  • Prevenir la toma de decisiones y perfiles automatizados.
  • Portabilidad de datos.

Por norma general, los derechos que disfrutan los individuos en el marco del RGPD son los mismos que los existentes en la normativa actual LOPD, pero con algunas mejoras significativas relacionadas con preguntas como ¿los sistemas le ayudarán a localizar y eliminar los datos? ¿quién tomará las decisiones sobre la eliminación?

El derecho a la portabilidad de datos es nuevo dentro del RGPD. Esta es una forma mejorada del derecho de acceso donde el sujeto tiene que proporcionar los datos electrónicamente y en un formato comúnmente usado. Muchas organizaciones ya suministrarán los datos de esta manera, pero si utiliza impresiones en papel o un formato electrónico inusual, ahora es el momento para revisar sus procedimientos y realizar los cambios necesarios.

Aspecto importante dentro de la solicitud de acceso a los datos es el deber de actualizar sus procedimientos y planificar cómo manejar dicha solicitud dentro de las nuevas escalas de tiempo y proporcionar cualquier información adicional.

Las reglas para tratar con las solicitudes de acceso de sujetos cambiarán con el RGPD. En la mayoría de los casos no se podrá cobrar por cumplir con una solicitud y normalmente tendrá sólo un mes para cumplir, en lugar de los actuales 40 días. Habrá diferentes motivos para denegar el cumplimiento de la solicitud de acceso a la materia: las solicitudes manifiestamente infundadas o excesivas pueden ser cobradas o rechazadas. Si desea rechazar una solicitud, deberá

disponer de políticas y procedimientos para demostrar por qué la solicitud cumple estos criterios. Además, también debe proporcionarse información adicional a las personas que realicen solicitudes, como los períodos de retención de datos y el derecho a corregir datos inexactos. Si la organización maneja un gran número de solicitudes de acceso, el impacto de los cambios podría ser considerable. En última instancia, podría salvar a la organización de una gran cantidad de costos administrativos si puede desarrollar sistemas que permiten a las personas acceder a su información fácilmente en línea. Las organizaciones deberían considerar la posibilidad de realizar un análisis costo / beneficio de la prestación de acceso en línea.

Es necesario analizar los diversos tipos de procesamiento de datos que realizamos, identificar su base legal para llevarla a cabo y documentarlos. Muchas organizaciones no han pensado en su base legal para procesar datos personales. Según la ley actual, esto no tiene muchas implicaciones prácticas. Sin embargo, esto será diferente con el nuevo Reglamento porque los derechos de algunos individuos serán modificados dependiendo de su base legal para el procesamiento de sus datos personales. El ejemplo más claro es que las personas tendrán un derecho más fuerte a que sus datos sean borrados cuando usen el consentimiento como su base legal para el procesamiento. También tendrá que explicar su base legal para el procesamiento de datos personales en su aviso de privacidad y cuando responda a una solicitud de acceso de asunto. Las bases jurídicas en el RGPD, son en general, las mismas por lo que debería ser posible mirar los diversos tipos de procesamiento de datos que realizar e identificar su base legal para hacerlo. Una vez más, debe documentar esto con el fin de ayudarle a cumplir con los requisitos de “rendición de cuentas “.

Por otro lado, sobre el consentimiento de los datos se debe revisar cómo se está buscando, obteniendo y registrando dicho consentimiento y si necesitamos hacer cualquier cambio. El RGPD tiene referencias tanto al “consentimiento” como al “consentimiento explícito”. La diferencia entre los dos no es clara dado que ambas formas de consentimiento tienen que darse libremente, específicas, informadas e inequívocas. El consentimiento también tiene que ser una indicación positiva de acuerdo a los datos personales que se están procesando. Debemos asegurarnos de que cumplimos con los estándares requeridos por el RGPD. De no ser así, tenemos que modificar los mecanismos de consentimiento. Hay que tener en cuenta que el consentimiento tiene que ser verificable.

En materia de protección de datos referente a menores, debemos disponer de sistemas para verificar la edad de los individuos y para obtener el consentimiento de los padres o tutores para la actividad de procesamiento de datos.

Por primera vez, el RGPD ofrecerá protección especial para los datos personales de los niños, especialmente en el contexto de los servicios comerciales de Internet, como las redes sociales. En resumen, si recopilamos información sobre los niños necesitaremos el consentimiento de un padre o tutor para procesar sus datos personales legalmente. Esto podría tener implicaciones significativas si la organización busca servicios en los niños y recopila sus datos personales. Recuerda que el consentimiento tiene que ser verificable y que al recolectar los datos de los niños su aviso de privacidad debe estar escrito con un lenguaje que los niños entiendan.

En materia de Violación de datos, se debe disponer de los procedimientos adecuados para detectar, informar e investigar una violación de datos personales.

Actualmente algunas empresas y organizaciones, ya están obligadas a notificar cuando sufren una violación de datos personales. Sin embargo, el RGPD traerá una obligación de notificación de violación en todos los casos. Esto será nuevo para muchas organizaciones. De la misma manera se debe conocer que no todos los incumplimientos tendrán que ser notificados, solamente aquellos donde el individuo es probable que sufra algún tipo de daño, como por robo de identidad o una violación de confidencialidad.

Según lo anterior, desde ya se debe comenzar a llevar a cabo tareas para asegurar que se tienen los procedimientos adecuados para detectar, informar e investigar una violación de datos personales. Esto podría implicar la evaluación de los tipos de datos que posee y la documentación de los que estarían incluidos en el requisito de notificación en caso de incumplimiento. En algunos casos, habrá que notificar a las personas cuyos datos han sido objeto de la violación directamente, por ejemplo, donde el incumplimiento podría dejarlos abiertos a pérdidas financieras. Las organizaciones más grandes necesitarán desarrollar políticas y procedimientos para manejar las violaciones de datos, ya sea a nivel central o local. Ten en cuenta, que el hecho de no informar de una infracción cuando se requiera podría ocasionar una multa.

Es necesario conocer las Evaluaciones de Impacto de la Privacidad (PIA) y averiguar cómo implementarlas en su organización. Éstas pueden vincularse a otros procesos organizacionales como la gestión de riesgos y la gestión de proyectos. Se debe comenzar a evaluar las situaciones en las que será necesario realizar un PIA. ¿Quién lo hará? ¿Quién más necesita participar? ¿Se ejecutará el proceso de forma centralizada o local?

Por norma general siempre ha sido una buena práctica adoptar un enfoque de la privacidad por diseño y llevar a cabo una evaluación de impacto sobre la privacidad como parte de esto. Un enfoque de privacidad por diseño y minimización de datos siempre ha sido un requisito implícito de los principios de protección de datos. Sin embargo, el RGPD hará de este un requisito legal expreso. Se tiene que saber que no siempre hay que realizar un PIA, se requiere en situaciones de alto riesgo, por ejemplo, cuando se está implementando una nueva tecnología o donde una operación de perfilado es probable que afecte significativamente a las personas.

La figura que aparece con la nueva normativa es el Delegado de Protección de Datos, DPD. Hay que designar a un oficial de protección de datos, si es necesario, o a alguien que asuma la responsabilidad del cumplimiento de la protección de datos y habrá que evaluar dónde se situará este rol dentro de la estructura y los arreglos de gobierno de su organización.

El RGPD exigirá que algunas organizaciones designen a un oficial de protección de datos (DPO), por ejemplo, las autoridades públicas o aquellas cuyas actividades impliquen el seguimiento regular y sistemático de los datos a gran escala. Lo importante es asegurarse de que alguien de la organización, o un asesor externo de protección de datos, asuma la responsabilidad del cumplimiento de la protección de datos y tenga el conocimiento, el apoyo y la autoridad para hacerlo de manera eficaz.

Dicho esto, se debe determinar si necesitaremos un Delegado de Protección de Datos y, de ser así, evaluar si su enfoque actual de conformidad con la protección de datos cumplirá con los requisitos de RGPD.

Si la empresa u organización opera internacionalmente, se debe determinar a qué autoridad de supervisión de la protección de datos debe someterse. El RGPD contiene disposiciones bastante complejas para determinar qué autoridad de supervisión de la protección de datos toma la iniciativa cuando se investiga una denuncia con un aspecto internacional, por ejemplo, cuando una operación de tratamiento de datos afecta a personas de varios Estados miembros.

En resumen, la autoridad principal se determina según donde la organización tiene su administración principal o donde se toman decisiones sobre el procesamiento de datos. En una sede tradicional esto es fácil de determinar. Es más difícil para las empresas complejas de varios sitios donde las decisiones sobre las diferentes actividades de procesamiento se toman en diferentes lugares.

Por todo ello, en TecnoPeritaciones, se ha formado un equipo de profesionales destinados a solventar todas las dudas y necesidades en el ámbito de la protección de datos, para dar respuesta a nuestros clientes de una manera profesional, clara y directa. Sin duda nuestros delegados de Protección de Datos sabrán dar a cada situación la mejor solución. Consúltenos y trataremos su caso.

    ¡Escríbenos!

    x