7 pasos para adaptarte al Reglamento de Protección de Datos

24 mayo 2018

El 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Esta norma introduce cambios en las obligaciones anteriores. ¿Está tu empresa preparada ante este cambio?

Siguiendo diferentes recomendaciones de la Agencia Española de Protección de Datos, te proponemos una guía para adaptar a tu empresa a la nueva normativa en 7 pasos. Al seguirlos, es recomendable documentar las actuaciones, para poder demostrar la diligencia en el cumplimiento de las nuevas exigencias.

Adaptar los formularios al derecho de información

Al adaptar los formularios, recuerda que es imprescindible aportar cierta información a los interesados. Esta información debe ser concisa, transparente, inteligible y fácilmente accesible, usando un lenguaje claro y sencillo.

Una sugerencia interesante es la de proporcionar la información “por capas”: una primera capa con información básica (se recomienda que sea en forma de tabla), que se puede ampliar a una segunda capa con información adicional más detallada. Los epígrafes básicos serán:

  • Responsable del tratamiento
  • Finalidad del tratamiento
  • Legitimación: recordamos que la base del tratamiento, salvo algunas excepciones tasadas, es el consentimiento expreso del interesado
  • Destinatarios de cesiones o transferencias de datos
  • Derechos de las personas interesadas

El consentimiento es la base para legitimar el tratamiento de datos. Solo en ciertos casos determinados se permite tratamiento sin consentimiento: por ejemplo, en el caso del tratamiento para ejecutar un contrato o aplicar medidas precontractuales a petición del interesado, el cumplimiento de obligaciones legales o por intereses vitales del afectado.

Recuerda que el consentimiento debe ser libre, específico, informado e inequívoco, a través de declaraciones o acciones afirmativas. Si en su momento ya se prestó consentimiento que cumplió con los requisitos del nuevo Reglamento, no es necesario recabar un nuevo consentimiento. Pero no se admite como consentimiento el silencio, la inacción o las casillas ya marcadas en un formulario.

Adaptar los mecanismos para el ejercicio de los derechos

Es necesario prever los mecanismos que van a permitir a los interesados ejercer materialmente sus derechos:

  • Derecho a rectificación o supresión
  • Derecho a limitación del tratamiento
  • Derecho a oposición al tratamiento
  • Derecho a la portabilidad
  • Derecho a retirar el consentimiento para determinadas finalidades

Cuando se informe al interesado, se deberá indicar claramente cómo podrá ejercer sus derechos (por ejemplo, poniendo a disposición formularios o indicando la forma de contacto para solicitarlo). Asimismo, hay que contemplar la posibilidad (e informar al interesado) de presentar una reclamación ante la autoridad competente si no han podido satisfacerse los derechos.

Adaptar los contratos de encargado de tratamiento de datos

Cuando el responsable del tratamiento cuente con un tercero como encargado del tratamiento, esta relación debe formalizarse mediante un contrato. El contrato debe contemplar el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos y categorías de interesados, las obligaciones y los derechos del responsable.

Los siguientes elementos deben constar en el contrato:

  • Instrucciones del responsable del tratamiento. Entre otras, destaca la necesidad de adeterminar las comunicaciones a terceros encomendadas al encargado.
  • Deber de confidencialidad
  • Medidas de seguridad
  • Régimen de subcontratación (si se da, el subencargado debe estar sujeto a las mismas condiciones y de la misma forma que el encargado)
  • Derechos de los interesados
  • Colaboración en el cumplimiento de las obligaciones del responsable
  • Destino de los datos al finalizar la prestación
  • Colaboración con el responsable para demostrar el cumplimiento

Adaptar la política de privacidad

Al elaborar o adaptar la política de privacidad, hay que tener en cuenta los puntos anteriores. Además, es interesante que recuerdes los principios que deberán guiar la política de privacidad, que establecen matices a los principios de la anterior Directiva.

  • Licitud, lealtad y transparencia
  • Limitación de la finalidad del tratamiento
  • Minimización de datos
  • Exactitud de los datos
  • Limitación del plazo de conservación
  • Integridad y confidencialidad
  • Responsabilidad proactiva.

Designar un Delegado de Protección de Datos

La nueva norma exige un Delegado de Protección de Datos (DPD, también llamado Data Protection Officer – DPO) en algunos casos:

  • Si el tratamiento de datos por parte de autoridad u organismo público
  • Si la actividad principal del responsable o el encargado consiste en operaciones de tratamiento que exigen control periódico y sistemático de datos a gran escala
  • Si la actividad principal del responsable o del encargado consiste en tratar a gran escala ciertas categorías de datos sensibles (origen étnico o racial, opiniones políticas, religión, afiliación sindical, datos biométricos identificativos, datos de salud o vida sexual, condenas o infracciones penales, etc.).

En otros casos, el Delegado de Protección de Datos no es obligatorio. Si debes contratar un DPD, es necesario tener en cuenta sus conocimientos sobre la legislación y la experiencia en protección de datos, para que tenga capacidad para cumplir las funciones que se le encomendarán.

El DPD puede ser alguien de la empresa o contratarse externamente, pero debe realizar sus funciones de forma independiente: no podrá recibir instrucciones de controladores o procedadores y no podrá ser sancionado ni despedido por el desempeño de sus funciones. Asimismo, si desarrolla otras funciones, no puede haber conflicto de intereses con otras tareas y deberes.

Elaborar un registro de actividades de tratamiento

Tanto el responsable como el encargado deberán elaborar y tener a disposición de la autoridad un registro de actividades de tratamiento.

El registro del responsable incluirá datos como:

  • La identificación del responsable
  • Los fines del tratamiento
  • La descripción de categorías de interesados y de categorías de datos
  • Categorías de destinatarios a los que pueden comunicarse estos datos (especificando, si procede, las transferencias de datos a un tercer país).
  • Si es posible, se indicarán también los plazos para la supresión de las diferentes categorías de datos y la descripción de medidas de seguridad.

Realizar un análisis de riesgos y definir las medidas de seguridad

Se debe contemplar la protección de datos desde el diseño y, por defecto, en cualquier nuevo tratamiento, cumpliendo con los principios de calidad y proporcionalidad en el tratamiento.

Entonces, a partir de la definición de las actividades de tratamiento, se requiere un análisis de riesgos para, posteriormente determinar las medidas técnicas y organizativas adecuadas para garantizar los derechos de los interesados. Estas medidas se fijarán según las características del tratamiento, los posibles riesgos (en consideración a su probabilidad y gravedad) y el estado de la técnica y coste. Los principales riesgos se relacionan con la protección de la información (para garantizar la integridad, disponibilidad y confidencialidad de los datos) y los de cumplimiento de requisitos relacionados con derechos y libertades.

 

Ante actividades de bajo riesgo, será suficiente con un análisis de riesgos básico. Estos riesgos se analizarán teniendo en cuenta las actividades de tratamiento, los datos, las personas que intervienen en el tratamiento y la tecnología implicada.

Cuando el tratamiento puede implicar un riesgo alto para los derechos y libertades de las personas físicas, el Reglamento exige una evaluación de impacto sobre datos personales (EIPD), más detallada y específica. Por ejemplo, algunos casos en los que el Reglamento exige la EIPD son:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas
  • Tratamiento a gran escala de las categorías especiales de datos
  • Observación sistemática a gran escala de una zona de acceso público (origen étnico o racial, opiniones políticas, religión, afiliación sindical, datos biométricos identificativos, datos de salud o vida sexual, condenas o infracciones penales, etc.)

Finalmente, si a pesar de las medidas tomadas se producen violaciones de seguridad, deberás tener presente el deber de informar a la autoridad de control (salvo que sea improbable que la violación constituya un riesgo para los derechos y libertades de las personas físicas). Si es probable que la violación entrañe un riesgo alto para los derechos y libertades, el responsable del tratamiento deberá notificarlo también al interesado.

 

Algunos recursos para más detalle:

¿Sabías que...?

El Máster en Derecho Digital y Sociedad de la Información de la Universidad de Barcelona te aporta herramientas prácticas para que puedas liderar la adaptación a los nuevos retos jurídicos que presentan las TIC (Tecnología de la Información y la Comunicación). Este Máster te prepara como futuro experto en el desarrollo de políticas en los distintos ámbitos del Derecho Digital.

Artículos relacionados

Envía un comentario

*