GuiaRGPD

INTRODUCCIÓN
A partir del 25 de mayo de 2018 es de aplicación el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.
El RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas, teniendo en cuenta sus propias circunstancias, por las propias empresas.
Recientemente se ha presentado ante el Consejo de Ministros el Anteproyecto de reforma de la Ley Orgánica de Protección de Datos que, en menos de dos meses debería estar lista, adaptando así la normativa nacional al nuevo marco legislativo europeo.
Por lo tanto, queda poco tiempo para que las empresas lleven a cabo todas aquellas actuaciones que permitan su adecuación a las novedades que trae el RGPD y que serán de obligado cumplimiento a partir del 25 de mayo de 2018.
A través de la presente recopilación, Lois Carrera Abogados pone en conocimiento de sus clientes las principales novedades que trae consigo la plena aplicación del RGPD. Se advierte que la información contenida en este documento no constituye asesoramiento jurídico.

CONCEPTOS PREVIOS

DATOS DE CARÁCTER PERSONAL:
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
PERSONA IDENTIFICABLE:
Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.
TRATAMIENTO DE DATOS:
Cualquier operación o procedimiento técnico, sea o no automatizado, que implique la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, bloqueo, modificación, o cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
FICHERO:
Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
RESPONSABLE DEL FICHERO O DEL TRATAMIENTO:
Persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.
En el caso de entes sin personalidad jurídica que actúen como sujetos diferenciados, se considerará encargado del tratamiento a la persona o personas integrantes de los mismos.

HOJA DE RUTA:

MEDIDAS DE RESPONSABILIDAD ACTIVA:
El RGPD establece un catálogo de medidas que los responsables, y cuando proceda, los encargados del tratamiento deberán aplicar en sus organizaciones para que los tratamientos de datos que lleven a cabo se realicen conforme con las novedades introducidas.
1. DESIGNAR AL DELEGADO DE PROTECCIÓN DE DATOS (DPO).
Una de las grandes novedades es la creación de la figura del Delegado de Protección de Datos (DPO), que será obligatoria en los siguientes casos:
– Cuando el tratamiento se lleve a cabo por una autoridad u organismo público.
– Cuando las actividades principales del responsable o encargado del tratamiento sean operaciones que requieran la observación habitual de interesados a gran escala.
– Cuando la actividad principal de la empresa consista en el tratamiento de datos de categorías especiales a gran escala.
El DPO debe asesorar a la empresa en todo lo relativo a la normativa de protección de datos y actuar como punto de contacto entre los interesados y las autoridades de control. Las funciones que, como mínimo, deberá realizar el DPO, son las siguientes:
a. Informar y asesora al responsable y/o encargado del tratamiento, así como a los empleados encargados del tratamiento, de las obligaciones que deberán asumir en virtud de la normativa vigente en Protección de Datos de Carácter Personal.
b. Supervisar el cumplimiento en materia de protección de datos, concienciar y formar al personal que participa en las operaciones de tratamiento, así como, realizar las auditorias que resulten necesarias.
c. Asesorar y supervisar la aplicación de las evaluaciones de impacto.
La empresa podrá optar entre designar un DPO externo o interno, aunque en todo caso, deberá contar con formación especializada.

2. REGISTRAR LAS ACTIVIDADES DE TRATAMIENTO.
Otra de las novedades introducidas, es la eliminación de la obligación de elaborar y notificar a la AEPD la creación de ficheros que contengan datos de carácter personal.
La entrada en vigor del RGPD incorpora la obligación de llevar a cabo un registro de actividades de tratamiento. Se trata de identificar con precisión los tratamientos y flujos de datos que la empresa realiza. Para ello, las empresas deberán elaborar y mantener un registro interno que disponga de toda la información acerca de los tratamientos de datos que realicen y el grado de cumplimiento efectivo de la normativa. Las empresas deberán elaborar este registro interno con el fin de identificar y describir los tratamientos de datos llevados a cabo en el seno de su organización, permitiendo de este modo, además de velar por el cumplimiento de la normativa, poder disponer de un control efectivo sobre los datos recopilados y tratados que permita detectar con mayor facilidad los posibles riesgos que puedan existir.
Están exentas de llevar a cabo un registro de las actividades de tratamiento aquellas organizaciones que empleen a menos de 250 trabajadores, a menos que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos o datos relativos a condenas e infracciones penales.

3. ANALIZAR LOS RIESGOS.
Realizado el registro de actividades de tratamiento, las empresas deberán identificar las acciones necesarias para mitigar o, en su defecto, minimizar los riesgos detectados, adoptando aquellas medidas de seguridad, tanto técnicas como organizativas que permitan evitar posibles pérdidas de información, la destrucción de datos e incluso el acceso de terceros no autorizados a los datos almacenados.
El tipo de análisis variará en función del tipo de tratamiento, la naturaleza de los datos, el número de interesados afectados y la cantidad y variedad de tratamientos que una misma organización lleve a cabo.

4. REALIZAR EVALUACIONES DE IMPACTO.
Cuando alguno de los tratamientos llevados a cabo, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable realizará, antes del tratamiento, una Evaluación del impacto de las operaciones de tratamiento en la protección de datos personales (PIA).
Será necesario llevar a cabo una evaluación de impacto en aquellos tratamientos que impliquen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas y tratamientos a gran escala de datos sensibles. No obstante, en algunas ocasiones puede resultar recomendable realizar una Evaluación de impacto como medida de control sobre el propio tratamiento, puesto que se trata de una herramienta que permite la aplicación del principio de responsabilidad proactiva (accountability), acreditándose de este modo el cumplimiento de la norma.
Realizada la Evaluación de Impacto, se recogerá en un informe todas las características del tratamiento analizado y las decisiones y medidas adoptadas para minimizar y, en su caso, mitigar los riesgos.

5. REVISAR Y ADAPTAR LOS PROCESOS Y DOCUMENTACIÓN INTERNOS.
Toda organización deberá establecer procedimientos internos que permitan garantizar la protección de los datos personales tratados en cualquier momento. De este modo, la organización de los procesos de tratamientos de datos implica que:
– Es fundamental sensibilizar, formar y organizar a los trabajadores de las empresas.
– Diseñar estrategias empresariales que tengan en consideración desde el inicio de la protección de datos de carácter personal.
– Adoptar los mecanismos necesarios que permitan atender las reclamaciones y peticiones de los interesados respecto de los tratamientos que de sus datos personales se realicen.
– Fijar procedimientos que permitan solventar en el plazo máximo de 72 horas las brechas de seguridad que puedan producirse. Así mismo, deberán comunicarse siempre y en todo caso a la autoridad competente.
Del mismo modo, es obligación de las empresas adaptar la documentación a la nueva normativa, así como los modelos y formulares ya existentes que fueron diseñados de conformidad con la LOPD. Para ello, deberán revisar, entre otros, los consentimientos ya obtenidos y los contratos entre responsables y encargados del tratamiento, para verificar que cumplen con las nuevas exigencias del RGPD.
Tan solo serán válidos y podrán seguir siendo utilizados aquellos consentimientos que, aun obtenidos con anterioridad a las modificaciones adoptadas con motivo de la plena aplicación del RGPD, fueron prestados por los interesados por medio de una declaración afirmativa de forma voluntaria, específica e informada.
Al mismo tiempo, deberán revisar las cláusulas informativas, puesto que se añaden requisitos adicionales al deber de informar a los interesados. De este modo, será obligatorio que los clausulados contengan los siguientes aspectos:
a. La base jurídica o legitimación del tratamiento.
b. Los datos del DPO, en aquellas organizaciones en las que exista esta figura.
c. El plazo y los criterios de conservación de la información proporcionada.
d. Si se van a realizar o no transferencias de datos internacionales.
e. Informar del derecho a presentar una reclamación ante las Autoridades de control competentes.
f. Informar de la posibilidad que tienen los interesados de ejercitar sus derechos de acceso, rectificación, limitación del tratamiento, portabilidad, oposición, y a no ser objeto de decisiones individuales automatizadas.
g. La existencia o no de decisiones automatizadas o elaboración de perfiles.

6. NOTIFICACIÓN QUIEBRAS DE SEGURIDAD: MECANISMOS Y PROCEDIMIENTOS.
Serán los responsables del tratamiento de datos quienes deberán notificar a la autoridad competente y comunicar a los interesados, las violaciones de seguridad que se produzcan en sus sistemas, cuando aquellas supongan la destrucción, pérdida, alteración, acceso o comunicación no autorizada, ya sea accidental o ilícita, a los datos personales de la empresa.
La empresa debe contar con un plan de contingencia que permita eliminar los perjuicios cuanto antes. Para ello, deberá dotarse de los medios de detección y notificación que permitan minimizar los riesgos que pueda suponer la eventual quiebra de seguridad.
La comunicación a la autoridad competente se producirá como máximo en el plazo de 72 horas desde que se hubiese producido la quiebra de seguridad.

7. DOCUMENTAR EL CUMPLIMIENTO.
Para acreditar el cumplimiento con el RGPD, la empresa deberá disponer de los documentos elaborados en cada uno de los pasos a seguir que han sido revisados y actualizados.
De este modo, la empresa debe constituir un expediente documental, físico o electrónico, a través del cual pueda demostrar que los tratamientos de datos personales llevados a cabo se han realizado aplicando las medidas técnicas y organizativas correspondientes, dando de este modo, pleno cumplimiento a la nueva normativa.