Legal Compliance

Cómo adaptarse al reglamento de protección de datos

Trataré en este artículo el cómo adaptarse al Reglamento de Protección de Datos. El próximo 25 de mayo de 2018 serán de plena aplicación los preceptos del nuevo Reglamento EU, hasta ese momento tu puedes elegir entre (a) no hacer nada y (b) ponerte a trabajar para evitarte futuros dolores de cabeza.

Guía: ‘Cómo adaptarse al Reglamento de Protección de Datos’

Estas son algunas de las tareas a las que podrás dedicar tu tiempo este próximo año si odias la cefalea.

1º DETERMINA CON CLARIDAD LOS FLUJOS DE DATOS DE TU EMPRESA.

Se acabó aquello de declarar a la AEPD una “base de datos” y olvidarte para siempre de para qué sirven sus ficheros de datos personales “porque ya está declarada”. Es buen momento para revisar tus procesos y entender para qué usas esos datos, quién los tiene fuera de tu organización y quién tiene acceso a ellos dentro. Y lo más importante: qué impacto puede tener que desaparezcan, te los roben o los utilicen mal. Si no lo haces, pronto estarás muerto en la bañera.

Mejor coge papel y lápiz, entrevista a media empresa y hazte un mapa: igual hasta descubres que tienes un 20% más de ficheros con datos personales de los que tienes ahora declarados y que algunos de los declarados no sabes ni para qué sirven ni quien los usa.

2ª DOCUMENTA E IDENTIFICA LA BASE LEGAL DE LOS TRATAMIENTOS DE DATOS QUE HAGAS

Y no es que esto vaya a cambiar cuando el Reglamento de Protección de Datos entre en vigor porque básicamente dice lo mismo que la actual LOPD: es que ahora vas a tener que reflexionar sobre si tienes o no intereses prevalentes sobre esos datos, si tienes o no una relación contractual que te permite tenerlos o si de verdad cuentas con el consentimiento expreso del aquel a quien pertenecen esos datos.

Los nuevos principios de responsabilidad proactiva y de enfoque en el riesgo te van a obligar a entender en base a qué puedes tratar esos datos.

3ª REVISA LOS CONSENTIMIENTOS YA OBTENIDOS

A partir de mayo de 2018 sólo tendrán legitimación suficiente los tratamiento de datos basados en el consentimiento INEQUIVOCO , con independencia de cuando se haya obtenido ¿Estás seguro de que los tienes todos…? Mmmm. ¿y qué es inequívoco? Te preguntarás…

4º ADAPTA EL DERECHO DE INFORMACION

Tanto las condiciones del tratamiento de los datos como la respuesta al ejercicio de los derechos de los interesados deben de ser informados de forma transparente, inteligible y de fácil acceso, con lenguaje claro y sencillo.

Nadie sabe aun qué significa esto, ni cómo lo vas a equilibrar con la obligación de proporcionar adecuada información legal. Mejor olvídate del abogado y contrata un novelista.

5º HAZ UNA EVALUACION DE IMPACTO

Tu puedes decidir si la haces o no. Pero mejor no te equivoques. Siempre que el tratamiento de datos tenga un riesgo alto para los interesados deberá hacerse la evaluación. Pero ¿Y cuándo lo tiene?… qué buena pregunta. Reflexiona sobre lo que te preocupa a ti personalmente como consumidor o empleado.

6º PONTE A BUSCAR A ALGUIEN A QUIEN NOMBRAR DELEGADO DE PROTECCION DE DATOS.

Bueno, para empezar primero tendrás que decidir si lo necesitas o no. Ya te digo que no es tarea fácil. Si lo necesitas, siempre puedes designar a tu gerente de márketing que de esto sabe mucho. Eso sí… atente a las consecuencias.

7º REVISA LOS CONTRATOS ENTRE EL RESPONSABLE DE LOS DATOS Y EL ENCARGADO DE SU TRATAMEINTO

Revisa tus contratos actuales. Tendrás que adaptarlos al Reglamento. No serán válidas las remisiones genéricas al RGPD. Trata de ser fiel a la realidad y prepara tus test de debida diligencia sobre tu tratador… El responsable eres tú si las cosas van mal, recuérdalo. El principio de responsabilidad proactiva te obliga a ello.

Siempre podrás averiguar si tu tratador de datos está certificado por una agencia o adherido a un sistema que garantice que trata los datos de forma adecuada al reglamento.

8º REFLEXIONA SOBRE LOS NUEVOS DERECHOS DE LOS INTERESADOS.

Además de los tradicionales derechos ARCO se recogen nuevos derechos: De ejercicio, de limitación de tratamiento, de portabilidad. Averigua cómo son y vigila si funciona el sistema que te permita cumplir con ellos cuando te los reclamen. Si no lo haces: otra vez muerto en la bañera.

9º PIENSA SI NECESITAS UN REGISTRO DE ACTIVIDADES DE TRATAMIENTO.

Recuerda que ya no declaras ficheros a la Agencia… ¿cómo vas a organizarte para saber si creas nuevos ficheros, para que los usas y quien se los dejas, si ya no rellenas le modelo que te proporcionaba la Agencia Española?… Menuda risa… Mejor haz un curso de excel. Te vendrá bien para registrar tus actividades.

Pero igual no tienes obligación de constituir ese fichero, dependerá del tamaño de tu organización y de los datos que trates… esta claro, ¿no?

10º TOMA MEDIDAS (…DE SEGURIDAD)

Ahora se llaman Medidas Técnicas y Organizativas…Aprovecha y revisa tus medidas de seguridad y tus controles. Por cierto ya no te servirá de mucho tu documento de seguridad… ya no te lo va a auditar nadie. Con el RGPD, ya no dependerá el nivel de seguridad solamente del tipo de datos, sino que intervendrán otras variables en base a un análisis de riesgos previo que hasta ahora no se exigía. ¿Lo tienes hecho?

11º VETE APRENDIENDO A NOTIFICAR TUS QUIEBRAS DE SEGURIDAD

No debes preocuparte si entran en tu network y te chupan tu base de datos de clientes geo localizados…Se está preparando un formulario estándar para hacer las notificaciones a nivel comunitario.

Si quieres puedes hacer una valoración del riesgo de quiebra que, por cierto, no es igual que la evaluación de impacto. Si no te apetece hacerlo mejor no uses el formulario cuando te entren los hackers hasta la cocina.

12º EMPIEZA A PENSAR EN COMO PROTEGER LOS DATOS DE TUS CLIENTES POR DISEÑO O POR DEFECTO

Con el RGPD los Responsables de Tratamiento deben adoptar desde el inicio del mismo las medidas suficientes para protegerlos. Cualquier nuevo tratamiento que esté en marcha debería ya contar con un análisis de protección de datos antes de su puesta en funcionamiento. Asimismo el nivel de protección de los datos por defecto debe ser el más alto. ¿Lo sabías…?

Vete preguntándole a ese colega que te está diseñando una app de las que quitan el sentido con la que podrás averiguar a qué hora se acuestan tus compradores de colchones. Igual ya está al tanto y la app está siempre desconectada de noche.

12º TRANSFERENCIAS INTERNACIONALES

¿Eres una multinacional? ¿Tratas datos o los recoges fuera de la Unión Europea? ¿Envías datos de tus empleados a la India para hacer sus nóminas?

Si no, no te preocupes. De todos modos si lo haces, ya no tendrás que pedir permiso a nadie para hacerlo si crees que las normas te amparan. Bueno, siempre podrás pedir el consentimiento expreso de los titulares de esos datos para enviarlos por medio mundo, sea o no un país que goce del mismo nivel de protección que la UE.

En cualquier caso, si todo esto te aburre muchísimo, o tienes dudas de cómo adaptarse al Reglamento de Protección de Datos, llama a Legal Compliance… a nosotros nos divierte.

Olga Guidotti ©Legal Compliance, S.L.
Consulte nuestro artículo
LA REFORMA DE LA PROTECCIÓN DE DATOS EN LA UNIÓN EUROPEA

Salir de la versión móvil