Cuáles son los pasos a seguir para adaptar tu empresa al Reglamento General de Protección de Datos (RGPD)
- 14 junio 2018
- Asesoría
La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos (RGPD) ha supuesto para muchas empresas una carrera contra-reloj para implementar la nueva normativa, a pesar de que un porcentaje importante de compañías aún no se ha adaptado a ella. Aquellas que no lo hayan hecho aún, pueden enfrentarse al riesgo de sanciones de hasta 20 millones de euros o un 4% de la facturación anual.
Ante el temor de ser sancionados, son muchas las dudas que el RGPD ha generado en empresarios, directivos y autónomos que tratan con datos y desconocen los pasos a seguir para implementarlo, y cómo tener garantías de hacerlo de forma correcta. Además, al ser el RGPD una norma de aplicación directa, es la referencia que todos los responsables deben asumir por encima de la actual Ley Orgánica de Protección de Datos (LOPD).
En este sentido, el nuevo reglamento exige nuevas obligaciones a las empresas bajo el principio de responsabilidad activa, que tiene como finalidad demostrar ante las autoridades correspondientes y los afectados por el tratamiento el correcto cumplimiento del RGPD. Por tanto, de ahora en adelante cualquier organización tiene la obligación de aclarar qué datos tratan, con qué finalidad y qué tratamiento llevan a cabo.
A continuación explicamos cuáles son los aspectos clave que deben cumplir todas las empresas para adaptarse correctamente al RGPD:
1. Análisis de riesgos
Todos los responsables de tratamiento de datos deberán realizar una valoración del riesgo de los tratamientos que realicen, con el objetivo de determinar qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función del tipo de tratamiento, la naturaleza de los datos, el volumen de afectados y cantidad y variedad de tratamientos que la organización lleve a cabo.
2. Registro de actividades de tratamiento
Los responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se incluya la información que establece el RGPD y que contenga los siguientes campos, entre otros:
• Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos (si procediera)
• Finalidades del tratamiento
• Descripción de categorías de interesados y categorías de datos personales tratados
• Si tienen lugar transferencias internacionales de datos
3. Protección de Datos desde el Diseño
La RGPD debe de implementarse desde el principio de responsabilidad proactiva, es decir, con anterioridad al inicio del tratamiento y cuando se esté llevando a cabo. Así, los responsables deberán aplicar medidas técnicas para garantizar los principios del RGPD, que implican que sólo se traten los datos necesarios, la extensión del tratamiento, tiempo de conservación y accesibilidad a los datos.
Desde el inicio, los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del RGPD. Éstos deberán adoptar medidas que garanticen que sólo se traten los datos necesarios en lo respecta a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
4. Determinación de medidas de Seguridad
Antes, la LOPD determinaba qué medidas de seguridad debían aplicarse según la tipología de los datos. Ahora, con el RGPD, los responsables y encargados del tratamiento son quienes deberán establecer las medidas técnicas y organizativas que garanticen la seguridad según el riesgo detectado.
5. Notificación de brechas de seguridad de los datos
Las brechas de seguridad consisten en todo tipo de incidente que implique la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Cuando se produzca una brecha de seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente dentro de las 72 horas siguientes a que el responsable tenga constancia de ella. Sin embargo, no sería necesario en caso de que fuera improbable que dicha violación de seguridad suponga un riesgo para los derechos y libertades de los afectados.
6. Evaluación de Impacto
En aquellos supuestos en que el tratamiento conlleve un alto riesgo para los derechos y libertades de los interesados, es necesario que el responsable lleve a cabo una Evaluación de Impacto sobre la Protección de Datos (EIPD). La evaluación de impacto tiene como finalidad proporcionar una visión detallada de los riesgos relativos a la protección de los datos, y debe aplicarse de forma objetiva siguiendo un procedimiento estandarizado y sistemático.
7. Designación de un Delegado de Protección de Datos
La figura del Delegado de Protección de Datos será obligatoria en todas las empresas que traten de forma habitual con datos personales. La función de esta figura es garantizar el cumplimiento del RGPD.
El artículo 37 del RGPD fija la obligatoriedad de su designación en los siguientes casos:
– Cuando el tratamiento de los datos sea realizado por un organismo público.
– Cuando las actividades principales consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
– Si las actividades principales del responsable implican el tratamiento a gran escala de datos especiales (artículo 9 del RGPD) o personales referidos a condenas o delitos.
¿Tienes dudas sobre la implementación del RGPD?
Contacta con nuestro Departamento de Protección de Datos (monica.vilallave@cinc.es) sin ningún compromiso.
Cordialmente,
CINC Asesoría de Empresas