¿Por dónde empezar? ¿Cómo ir adecuando la actividad de las organizaciones a la nueva regulación del Reglamento General de Protección de Datos?

En esta Guía de la Agencia Española de Protección de Datos, puedes obtener algunas indicaciones para adecuar al reglamento a empresas con menos complejidad.

Adaptación de organizaciones de menor tamaño y con tratamientos de poca complejidad: Micropymes y Pymes

“El análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

Cuanto mayor sea el número de respuestas afirmativas mayor sería el riesgo que podría derivarse del tratamiento. Si la respuesta a estas preguntas y otras del mismo tipo fuera negativa, es razonable concluir que la organización no realiza tratamientos que generen un elevado nivel de riesgo y que, por tanto, no debe poner en marcha las medidas previstas para esos casos:

  • ¿Se tratan datos sensibles?

  • ¿Se incluyen datos de una gran cantidad de personas?

  • ¿Incluye el tratamiento la elaboración de perfiles?

  • ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?

  • ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?

  • ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?

  • ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?”

Lista de verificación simplificada

Auditoría o verificación simplificada

Los responsables que realicen un número limitado de tratamientos que probablemente presenten un bajo nivel de riesgo para los derechos y libertades de los interesados, podrán simplificar la valoración de los aspectos relevantes a la hora de determinar que están en condiciones de aplicar adecuadamente el RGPD.

Estos responsables serán en muchos casos pymes o micropymes, aunque también pueden incluirse entre ellos organizaciones de mayor tamaño. El elemento realmente decisivo es el tipo de tratamientos que lleven a cabo.

Empresas que realicen tratamientos básicos sobre los datos de sus empleados, clientes y proveedores, o comunidades de copropietarios que hagan tratamientos limitados a la gestión de las tareas propias de la comunidad, se encontrarían entre ellos.

Esta aproximación simplificada no sería válida para responsables que, con independencia de su tamaño, desarrollen tratamientos que impliquen un nivel de riesgo mayor. Por el tipo de tratamiento (por ejemplo, elaboración de perfiles), por el tipo de datos tratados (por ejemplo, uso de datos sensibles) o por el uso de determinados medios de tratamiento (por ejemplo, tecnologías de análisis masivo de información).

Identificación de la base jurídica de los tratamientos que se realizan

Estos tratamientos básicos normalmente se basan en la existencia de una relación contractual entre el interesado o el responsable o en el consentimiento del interesado. También es habitual que existan obligaciones legales para el responsable, por ejemplo en el ámbito de la legislación laboral, que determinen el tratamiento de los datos. Puede haber algunos casos en que sea el interés legítimo del responsable.

Verificación de la información que se proporciona a los interesados

El RGPD obliga a ofrecer a los interesados una mayor información sobre los tratamientos que se realizan.

La información podrá proporcionarse por diversos medios, como son avisos en páginas webs, espacios reservados en formularios o carteles informativos. También podrá ofrecerse en diversos momentos, como por ejemplo cuando se recogen los datos de los empleados o cuando se recogen los datos para contratación con los clientes.

Establecimiento de un registro de actividades de tratamiento

El responsable debe prever la existencia de este registro e incluir en él los contenidos previstos por el RGPD. Si tiene ficheros notificados al Registro General de Datos, puede organizarlo relacionando los tratamientos con las finalidades con que notificó los ficheros.

Ejercicio de derechos de los interesados

El responsable debe prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes.

Establecer una dirección de correo electrónico específica que sea operativa y que permita identificar a los interesados y atribuir a una persona de la organización que se responsabilice de tramitar todas las solicitudes que eventualmente se reciban.

Identificación de medidas de seguridad

Las medidas de seguridad tienen como finalidades principales garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas.

Los tratamientos que implican un bajo riesgo para los derechos o libertades de los interesados no requerirían, en principio, medidas de seguridad más complejas que las que actualmente establece el Reglamento de Desarrollo de la LOPD para el nivel básico.

Verificación de las relaciones con los encargados de tratamiento

El responsable debería asegurarse, ante todo, de que estos encargos estén siempre amparados en un contrato de encargo, que tiene un contenido distinto del que regula el servicio que se contrata, aunque puede formar parte de él.

Igualmente, debe verificar que los contratos de encargo de tratamiento con prestadores de servicios incluye todos los aspectos que establece el RGPD, especialmente en lo relativo a que el encargado sólo tratará los datos para los fines que le encomiende el responsable, que aplicará las medidas de seguridad adecuadas y que mantendrá estricta confidencialidad sobre la información tratada.

En algunos casos, el modelo de contrato será ofrecido por el prestador.

Y por último señalar las importantes sanciones que estipula el nuevo reglamento,

Sanciones del Reglamento General de Protección de Datos

  • 20 000 000 EUR como máximo
  • Una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tratándose de una empresa.

Quedan 3 meses para que el nuevo Reglamento General de Protección de Datos se aplique. Contacta con nosotros para adecuar a tu compañía a la nueva normativa.

 

Comparte este post en:

¿Tienes alguna duda? Envíanos un correo y contactaremos contigo de inmediato. Consulta aquí

Written by carlos guerrero

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*