Plan de cumplimiento del Reglamento General de Protección de Datos

El cumplimiento de la nueva normativa de Protección de Datos debe abordarse desde una perspectiva muy distinta a la actual. Entre otros cambios, ya no hablaremos de ficheros y tampoco contaremos en la legislación con unas medidas de seguridad concretas para tratar según qué tipos de datos y de qué nivel como hasta ahora, que distinguíamos entre nivel básico, medio y alto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. A partir de mayo se exigirá responsabilidad activa por parte de quienes traten datos personales y mayor implicación (“Compliance”). Cada Responsable o Encargado del Tratamiento deberá realizar un análisis de riesgos y de este modo, podrá concluir qué medidas de seguridad debe aplicar.  Estos y otros cambios son los que debemos ir asumiendo y preparando en cada organización.

Acaba de comenzar 2018 y faltan solo unos meses para que el Reglamento europeo de Protección de Datos (Reglamento General de Protección de Datos) sea obligatoriamente aplicable (25 de mayo).

Con la finalidad de que las organizaciones puedan adecuarse de manera progresiva a los nuevos requisitos legales en materia de protección de datos se recomienda la realización de un plan de cumplimiento del Reglamento General de Protección de Datos, de acuerdo con los principios y deberes que este contempla, cuyos artículos concretos se exponen para facilitar la ampliación de información sobre cada actuación:

 

  1. LEGITIMACIÓN Y CONSENTIMIENTO (Artículos 6 y 7 del RGPD)

Determinar y documentar la base legal (consentimiento del interesado, interés legítimo del Responsable o de un tercero, etc.) de los tratamientos de datos que se realizan. Se debe analizar la forma de obtención del consentimiento de los interesados y adoptar las medidas necesarias en caso de que no se estén cumpliendo los requisitos exigidos por el RGPD.

  1. INFORMACIÓN Y TRANSPARENCIA (Artículos 12 y 13 del RGPD)

Actualizar todas las leyendas legales informativas para que su redacción se adapte a los cambios introducidos por la nueva normativa en materia de información y de derechos.

  1. DERECHOS (Artículos 15, 16, 17, 18, 19, 20, 21 y 22 del RGPD)

Establecer y documentar los procedimientos adecuados para atender el ejercicio de derechos, especialmente para los nuevos: derecho “al olvido”, derecho a la limitación del tratamiento y derecho a la portabilidad de los datos.

  1. ENCARGO DE TRATAMIENTO (Artículo 28 del RGPD)

Revisar las relaciones jurídicas establecidas con los encargados de tratamiento y actualizar los correspondientes contratos para que contemplen todos los elementos que exige el RGPD.  Los contratos suscritos conforme a la normativa anterior al RGPD dejarán de ser válidos.

  1. REGISTRO DE ACTIVIDADES (Artículo 30 del RGPD)

Llevar a cabo el registro de actividades, en aquellas organizaciones en las que sea preciso, con el apoyo de la información que ya consta en los ficheros inscritos en el registro de la Agencia Española de Protección de Datos.

  1. ANÁLISIS DE RIESGOS Y MEDIDAS DE SEGURIDAD (Artículo 32 del RGPD)

Realizar un análisis de riesgos de los tratamientos que se realicen, a fin de poder establecer qué medidas de seguridad serán necesarias y cómo se aplicarán. No se habla ya de Documento de Seguridad, pero se entiende que las medidas de seguridad técnicas y organizativas que se apliquen deberán estar documentadas.

  1. VIOLACIONES DE SEGURIDAD (Artículos 33 y 34 del RGPD)

Establecer un procedimiento para el registro y notificación de violaciones de seguridad de los datos, tanto a la AEPD como a los afectados, llegado el caso.

  1. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS (Artículo 35 del RGPD)

En aquellas organizaciones en las que el resultado del análisis de riesgos así lo determine, se debe llevar a cabo esta evaluación, que requiere un análisis profundo del impacto que un determinado tratamiento de datos puede tener sobre la privacidad de los titulares de dichos datos.

  1. DELEGADO DE PROTECCIÓN DE DATOS (Artículos 37, 38 y 39 del RGPD)

En aquellas organizaciones que reúnan los requisitos exigidos para ello y en aquellas que no los reúnan pero lo consideren oportuno, se designará formalmente un Delegado de Protección de Datos.

  1. TRANSFERENCIAS INTERNACIONALES DE DATOS (Capítulo V del RGPD)

Analizar las transferencias internacionales de datos personales para verificar que cumplen los requisitos legales.

  1. DATOS DE MENORES DE EDAD (Artículo 8 del RGPD)

En aquellas organizaciones que traten datos personales de menores, se deben revisar las políticas establecidas para su tratamiento y actualizarlas para cumplir los nuevos requisitos legales.

  1. PRIVACIDAD DESDE EL DISEÑO (Artículo 25 del RGPD)

Si se realizan nuevos tratamientos de datos, se deberá tener en cuenta el requisito relativo a la protección de datos desde el diseño o por defecto.

 

Con el fin de aclarar dudas y facilitar el cumplimiento de la nueva legislación de Protección de Datos, tanto la Agencia Española de Protección de Datos como el Grupo Europeo de Protección de Datos del Artículo 29, están publicando guías y otros documentos que pueden consultarse. Asimismo, la propia Agencia Española de Protección de Datos, ha creado la aplicación “Facilita”, accesible a través de su web (agpd.es) que puede ser útil a organizaciones que realizan tratamientos de datos de bajo riesgo.

Debe tenerse en cuenta que además del RGPD, en España se espera la publicación de una nueva Ley Orgánica de Protección de Datos.

Las actuaciones expuestas deben llevarse a cabo habida cuenta de que aún hay aspectos de la nueva normativa que no han sido concretados y que en los próximos meses veremos cómo se materializarán. No obstante, conviene ir realizando los cambios que sean posibles, especialmente el de mentalidad a la hora de afrontar el cumplimiento de los nuevos requisitos legales. No se trata de adecuar una organización a la nueva normativa de protección de datos  en dos días, sino que debe tratarse de un trabajo proactivo, constante y continuado en el tiempo.

 

Mamen Fernández. Abogada TIC & Compliance.

 

Mamen Fernández
Mamen Fernández
Abogada TIC & Compliance

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído el "Aviso Legal y Política de Privacidad"