93 531 43 30

asesoria@jornauxxi.com

Via Augusta 2 Bis, 5ª planta

08006 Barcelona

¿qué cambia? Descubre todas las novedades

Nueva Ley de Protección de Datos europea

Como sabemos, ya ha entrado en vigor el Reglamento europeo de protección de datos, aunque será aplicable obligatoriamente a los dos años de su entrada en vigor, es decir, el 25 de mayo de 2018. Esta nueva ley de protección de datos pretende dar mayor poder a los interesados sobre sus datos personales, tanto en redes sociales, smartphones, banca online, etc., de forma que tendrán mayor control sobre sus datos.

En España se está tramitando un Proyecto de nueva Ley Orgánica de Protección de Datos, que ajusta nuestro ordenamiento a este nuevo Reglamento, por lo que habrá que estar atento los próximos meses de la aprobación de la nueva ley y lo que implica.

¿Qué empresas estarán obligadas a cumplir con el RGPD?

Este Reglamento se aplica todas aquellas entidades que traten datos de carácter personal que se encuentren dentro de la Unión Europea. También se aplicaran a responsables y encargados no establecidos en la UE siempre que traten datos como consecuencia de una oferta de bienes o servicios destinados a ciudadanos de la Unión.

Nuevas obligaciones

Este Reglamento supone un mayor compromiso de las empresas y organizaciones con la Protección de Datos.

Rendición de cuentas

Se amplía la información que se les debe dar a los interesados en relación con el tratamiento de sus datos así como a sus derechos en esta materia. Se incorpora el concepto de privacidad desde el diseño, lo cual se traduce en que la elaboración de los procedimientos empresariales se tiene que realizar teniendo en cuenta la protección de datos desde un primer momento.

Notificación de violaciones de seguridad

La nueva ley de protección de datos exige que las violaciones en la seguridad que puedan afectar a los datos personales sean notificadas en un plazo máximo de 72 horas a la Autoridad de Control correspondiente (Agencia Española de Protección de Datos). Si además si en esa violación se pueden ver afectado datos de carácter sensible y con gran repercusión a los afectados, también se lo deberá notificar a estos mismos.

Registro de las actividades de tratamiento

La nueva normativa, elimina la obligación de registrar los ficheros ante la Autoridad de Control correspondiente. No obstante obliga a llevar un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad, siempre que esta tenga más de 250 empleados o cuando se traten, no de forma ocasional, datos sensibles.

En qué consiste el registro de las actividades de tratamiento del RGPD

Responsabilidad proactiva / Accountability

Esta responsabilidad activa se refiere a la necesidad de prevención por parte de las organizaciones que manejan datos personales. Las empresas y entidades deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece.

La nueva ley de protección de datos entiende que actuar únicamente cuando ya ha tenido lugar la infracción no es suficiente como estrategia, debido a que esa infracción puede ocasionar daños a los interesados que puede ser muy complicado compensar o reparar.

Para ello todas las organizaciones que tratan datos deben efectuar un análisis de riesgo de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.

Estos análisis pueden ser procedimientos sencillos en entidades que no llevan a cabo más que unos pocos tratamientos elementales que no supongan, por ejemplo, datos especialmente protegidos, o trabajos más complejos, en entidades que desarrollen muchos tratamientos, que afecten a gran número de personas o que por sus características requieren de una valoración cuidadosa de sus riesgos.

Evaluación de impacto de protección de datos

Las Evaluaciones de Impacto son la principal medida de responsabilidad proactiva. Se trata de un análisis de los riesgos previos que puede acarrear un determinado sistema de información, producto o servicio al derecho a la protección de datos.

¿Qué es una evaluación de impacto- RGPD?

Para poder realizar la evaluación debe contarse con un Delegado de Protección de Datos Se trata de una nueva figura de responsabilidad dentro de la entidad. El DPO, se encargará de la planificación de las medidas de seguridad aplicables a los tratamientos de datos. así como la gestión de los mismos.

Hay que destacar que servirá de enlace entre la empresa y la autoridad de control. Solo será obligatorio en determinados casos, los cuales encontremos regulados en la nueva LOPD cuando está definitivamente se apruebe.en que consiste la nueva figura del delegado de proteccion de datos. RGPS.

¿Cómo afecta a los ciudadanos y qué herramientas tienen para proteger sus datos personales?

Se introducen nuevos elementos, que aumentan la capacidad de decisión y control de los ciudadanos sobre los datos personales que facilitan a terceros.

Derecho al olvido

Es el derecho que tienen los ciudadanos a solicitar, y conseguir de los encargados, que los datos personales sean suprimidos cuando estos ya no sean necesarios para el fin para el que fueron reunidos, cuando se haya revocado el consentimiento o cuando estos se hayan obtenido de forma ilegal.

Derecho a la portabilidad

Implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de forma digitalizada podrá requerir recobrar esos datos en un formato que le permita su traslado a otro responsable.

Cambios en la obtención del consentimiento

El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Las empresas deberán revisar la forma en la que obtienen y guardan el consentimiento.

Actualmente existen prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas con la actual normativa pero dejarán de serlo cuando el Reglamento sea de aplicación.

Para poder considerar que el consentimiento es “incuestionable”, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que apunte al acuerdo del interesado. La aceptación no puede deducirse del silencio o de la inacción de los ciudadanos

Se exige que el consentimiento tenga que ser “manifiesto” en determinados casos, como puede ser para autorizar el tratamiento de datos sensibles. Por tanto, el consentimiento tiene que ser verificable y quienes recopilen datos personales deben poder probar que el afectado les concedió su consentimiento.

Facilita_RGPD: Herramienta de ayuda RGPD

El Reglamento General de Protección de Datos (RGPD) comienza a aplicarse el 25 de mayo de 2018. Con la finalidad de facilitar la adecuación al RGPD a las empresas y profesionales (responsables o encargados de tratamientos) que traten datos personales de escaso riesgo para los derechos y libertades de las personas, la Agencia Española de Protección de Datos pone su disposición la herramienta Facilita_RGPD.

Facilita_RGPD es una herramienta fácil y gratuita. Una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, por lo que la Agencia Española de Protección de Datos en ningún caso puede conocer la información que haya sido aportada

Ha sido diseñada como un recurso útil para cualquier empresa o profesional, ya que con tan solo tres pantallas de preguntas muy concretas permite a quien la utiliza valorar su situación respecto del tratamiento de datos personales que lleva a cabo: si se adapta a los requisitos exigidos para utilizar Facilita_RGPD o si debe realizar un análisis de riesgos.

Facilita_RGPD no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otros.

La herramienta genera diversos documentos adaptados a la empresa concreta, cláusulas informativas que debe incluir en sus formularios de recogida de datos personales, cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento, y un anexo con medidas de seguridad orientativas consideradas mínimas

Facilita_RGPD está orientada a empresas que tratan datos personales de escaso riesgo, como por ejemplo, datos personales de clientes, proveedores o recursos humanos.

Tenga en cuenta que Facilita_RGPD es una ayuda y, por tanto, la documentación resultante deberá estar adaptada y actualizada a la situación de los tratamientos que se lleven a cabo en su entidad. La obtención de los documentos no implica el cumplimiento automático del RGPD

Herramientas de ayuda LOPD

Con el objetivo de facilitar el cumplimiento de las obligaciones recogidas en la Ley Orgánica de Protección de Datos (LOPD) y su Reglamento de desarrollo (RLOPD), la Agencia Española de Protección de Datos (AEPD) pone a disposición de los usuarios diversas herramientas y utilidades que pretenden hacer más fácil su cumplimiento.

EVALUA

Es una herramienta que la AEPD pone a disposición de los responsables de ficheros, de fácil uso, gratuita y que mantiene la anonimidad. Su uso permite a empresas y administraciones autoevaluar el grado de cumplimiento de la Ley Orgánica de Protección de Datos.

El programa consta de dos niveles de autoevaluación: el primero es un test básico para conocer el nivel de cumplimiento de la normativa de protección de datos, mientras que el segundo permite verificar fácilmente si se cumplen con las medidas de seguridad exigibles en cada caso.

Mediante un auto test basado en preguntas con respuesta múltiple, esta herramienta ofrece respuestas a las dudas a las que se habitualmente se enfrentan quienes manejan datos personales. Su cumplimentación puede ocupar entre 45 y 60 minutos. Una vez finalizado genera un informe con indicaciones y recursos que orientan, en su caso, para cumplir con lo dispuesto en la LOPD.

DISPONE

La Agencia Española de Protección de Datos facilita a las organizaciones que deben notificar ficheros de titularidad pública la herramienta DISPONE para ayudar a los responsables a elaborar la disposición general o acuerdo de creación, modificación o supresión de los ficheros. Incluye ejemplos en cada uno de los aparatados a cumplimentar que resultan de utilidad a la hora de proceder a la descripción de los ficheros.

Guía modelo para la elaboración del documento de seguridad

Asimismo, se ofrece una GUÍA MODELO para la elaboración del Documento de Seguridad. Se puede acceder al modelo y descargarlo directamente en su equipo y editarlo en función de sus necesidades.

NOTA

El sistema de Notificaciones Telemáticas de ficheros a la AEPD ( NOTA ) incluye modelos predefinidos para la notificación de determinados ficheros tipo tanto públicos (Agenda, Control de Accesos, Nóminas, Padrón, Registro,...) como privados (Clientes y/o proveedores, Nóminas-recursos humanos, Comunidades de propietarios, Videovigilancia,...).

Otros recursos

Web del CCN-CERT dirigida fundamentalmente a la Administración Pública donde se encuentran disponibles diversos recursos relacionados con la seguridad de la información tales como la notificación de incidencias de seguridad, herramientas de análisis de riesgos y diversos recursos orientados al cumplimiento del Esquema Nacional de Seguridad.

Web del Instituto de Ciberseguridad (INCIBE) donde se encuentra disponible diverso material dirigido a la protección de las micropymes y autónomos, tales como herramientas para el autodiagnóstico o formación sobre ciberseguridad.

Para resolver cualquier duda que se planteara al respecto contacten con nuestro despacho.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *