Nueva LOPD: ¿Qué debo hacer antes del 25 de mayo de 2018?

El nuevo Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016 y será aplicable a partir del 25 de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del RGPD en el momento en que sea de aplicación.

El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

Dos elementos de carácter general constituyen la mayor innovación del RGPD y se proyectan sobre todas las obligaciones de las organizaciones:

1. El principio de responsabilidad proactiva: El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

Actuar sólo cuando ya se ha producido una infracción es insuficiente, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar.

Las empresas deben adoptar medidas que aseguren razonablemente el cumplimiento de los principios, derechos y garantías que el RGPD establece. Contemplando el Reglamento una completa batería de medidas:

+ Protección de datos desde el diseño

+ Protección de datos por defecto

+ Medidas de seguridad

+ Mantenimiento de un registro de tratamientos

+ Notificación de violaciones de la seguridad de los datos

+ Promoción de códigos de conducta y esquemas de certificación

2. El enfoque de riesgo: El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas.

Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen, a fin de poder establecer qué medidas deben aplicar y cómo deben hacerlo. El tipo de análisis variará en función de:

+ los tipos de tratamiento,

+ la naturaleza de los datos,

+ el número de interesados afectados, y

+ la cantidad y variedad de tratamientos que una misma organización lleve a cabo.

Los responsables que realicen un número limitado de tratamientos y presenten un bajo nivel de riesgo, para los derechos y libertades de los interesados, podrán simplificar la valoración de los aspectos relevantes a la hora de determinar que están en condiciones de aplicar adecuadamente el RGPD.

Las empresas que realizan tratamientos básicos sobre los datos de sus empleados, clientes y proveedores, o las comunidades de copropietarios, que hagan tratamientos limitados a la gestión de las tareas propias de la comunidad, podrán concentrar su análisis en las siguientes cuestiones:

1. Identificación de la base jurídica de los tratamientos que se realizan Estos tratamientos básicos normalmente se basan en la existencia de una relación contractual entre el interesado y el responsable o en el consentimiento del interesado. El responsable debe asegurarse de que todos los tratamientos que realiza pueden apoyarse en alguna de esas bases.

2. Verificación de la información que se proporciona a los interesados El RGPD obliga a ofrecer a los interesados una mayor información sobre los tratamientos que se realizan. Todos los responsables han de cumplir con esta obligación de transparencia, con independencia de su tamaño como organización.

3. Establecimiento de un registro de actividades de tratamiento El responsable crear este registro e incluir en él los contenidos previstos por el RGPD.

4. Ejercicio de derechos de los interesados El responsable debe prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes. Estos mecanismos dependerán de las entidades. No obstante, es importante que estos mecanismos, por sencillos que sean, estén claramente establecidos. El modo de ejercer los derechos forma parte de la información que debe proporcionarse a los interesados.

5. Identificación de medidas de seguridad Las medidas de seguridad tienen como finalidad principal garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar los accesos no autorizados a las mismas. Por ello, el RGPD contempla medidas de seguridad que deben adaptarse a las características de los tratamientos, al tipo de datos tratados o a la tecnología disponible en cada momento.

6. Verificación de las relaciones con los encargados de tratamiento Cuando el responsable del tratamiento subcontrata parte de las operaciones, como puede ser el almacenamiento de la información o la realización de determinadas tareas sobre la base de los datos personales, la entidad que presta esos servicios es un encargado de tratamiento. El responsable debería asegurarse, ante todo, de que estos encargos estén siempre amparados en un contrato de encargo, que tiene un contenido distinto del que regula el servicio que se contrata, aunque puede formar parte de él.

En algunos casos, el modelo de contrato será ofrecido por el prestador. Si es así, el responsable debe ser consciente de que al suscribirlo convierte su contenido en las instrucciones para el tratamiento y se responsabiliza de ellas. En otros casos, será el responsable el que pueda preparar el modelo de contrato. En estos supuestos, sería aconsejable que recurriera a los modelos ya aprobados por la Comisión Europea o presentados por las autoridades de protección de datos.

Esta aproximación simplificada no es válida para responsables que, con independencia de su tamaño, desarrollen tratamientos que impliquen un nivel de riesgo medio y/o alto. Por el tipo de tratamiento (por ejemplo, elaboración de perfiles), por el tipo de datos tratados (por ejemplo, uso de datos sensibles) o por el uso de determinados medios de tratamiento (por ejemplo, tecnologías de análisis masivo de información).

Las empresas establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Debe tenerse presente que el esquema de medidas de seguridad previsto en el Reglamento de Desarrollo de la LOPD no seguirá siendo válido de forma automática a partir del 25 de mayo de 2018.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *