El nuevo Reglamento General de Protección de Datos y su aplicación en las empresas
  • Por
  • Publicado 02 de junio de 2017

El nuevo Reglamento General de Protección de Datos y su aplicación en las empresas

Medidas de aplicación y propuestas integrales de adaptación para las empresas ante el RGPD


¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es la nueva legislación a nivel europeo que reúne y unifica las distintas medidas y normativas europeas en el tratamiento de datos, con el objetivo de crear unas directrices comunes y establecer unas medidas legislativas y de calidad en el tratamiento y la protección de los datos para todos los estados miembro.

Su creación se inició, a manos de distintas autoridades europeas, en enero del año 2012, y en mayo de 2016 se publicó oficialmente. Aun así, las autoridades fueron conscientes de que era necesario un periodo de adaptación para las empresas, así que su obligada aplicación no se llevará a cabo hasta mayo de 2018, fecha a partir de la cual las empresas deberán tener ya implantadas y actualizadas sus medidas de seguridad relativas a la protección de datos.

Es significativo saber que el RGPD no deroga la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que actualmente regula el tratamiento de dichos datos en territorio español, sino que la obliga a renovarse y/o a modificar aquellos puntos y/o medidas que no sean compatibles con el RGPD, así como a añadir supuestos que hasta ahora no se contemplaban.

Principios y directrices generales del RGPD

El nuevo Reglamento se basa en la visión de la prevención como estrategia y metodología más óptima para garantizar la seguridad e integridad de los datos personales. A partir de este enfoque, el RGPD establece una serie de premisas sobre las que se basan todas las acciones y medidas más concretas de aplicación, y que son las siguientes:

Principio de Accountability

Las empresas deberán mostrar una responsabilidad proactiva en sus procesos de negocio, implantando las medidas de seguridad que estipule el RGPD y que sean necesarias conforme los resultados de la Evaluación de Impacto que haya realizado la compañía, y deberán ser capaces de demostrar su nivel de cumplimiento de los requerimientos marcados por el RGPD, que creará nuevos certificados y homologaciones para tal fin.

Protección de datos by default & by design

El RGPD concreta que la aplicación de las medidas de seguridad y de los procedimientos seguros en los procesos de negocio de la compañía, deben llevarse a cabo por defecto (by default) y desde el diseño (by design), integrando medidas de seguridad en todos los ámbitos de su empresa, des del inicio de cada uno de sus procesos, y des del diseño de los mismos, planificando y aplicando estos en base a las premisas legislativas que establezca el RGPD para cada caso.

Principio de transparencia

El objetivo del RGPD es que los interesados (aquellas personas cuyos datos personales se están tratando) tengan más información sobre el tratamiento que va a proporcionarse a sus datos, de manera que las empresas deben asumir la responsabilidad de informar de la manera más clara y completa posible. En consecuencia, los textos legales que usen las compañías para cumplir con su deber de información serán a partir de ahora más simples e inteligibles por parte de los interesados, con el objetivo de que estos comprendan mejor el proceso, el destino y la finalidad de la recogida de datos.

Garantías internacionales

Mediante esta unificación legislativa se pretende crear un espacio único donde las empresas puedan aumentar y optimizar sus oportunidades y procesos de negocio con las ventajas qie el RGPD ofrece en cuanto a burocracia y garantías legislativas.

A partir de esta nueva legislación, todos los estados miembros de la Unión Europea quedan obligados a su cumplimiento, incluso los grupos empresariales con sedes fuera de Europa (mediante la formalización de las BCR - Binding Corporate Rules), y las organizaciones que traten datos de residentes europeos, pero no estén instaladas en dicho territorio.

¿Qué medidas debo aplicar en mi empresa?

Una vez conocidos los principios generales en los que se basa el RGPD, nos interesa conocer cómo van a aplicarse y/o a afectar a nuestra compañía en sus procesos internos y de negocio.

A continuación, presentamos las adaptaciones generales que nuestra empresa debe implantar antes de mayo de 2018 en que el RGPD será ya de obligada aplicación.

 

RGPD: Reglamento General de Protección de Datos personales

Sanciones

Las sanciones aumentan y pueden llegar a ser de 20m€ o del 4% de la facturación global

Inscripción de Ficheros

Se elimina la obligación de inscripción de los ficheros, aunque deberá establecerse algún procedimiento de control sobre estos

Delegado Protección Datos (DPO)

Se añade a la figura del Responsable de Seguridad la del DPO, que será obligatorio en las empresas que traten datos personales sensibles a gran escala

Evaluaciones de Impacto sobre la Privacidad

Las empresas deberán llevar a cabo una Evaluación de Impacto sobre la Privacidad proporcional al volumen de tratamiento de datos de su empresa y a su categoría

Nivel medidas de seguridad

Las empresas deberán configurar sus medidas de seguridad en función de los resultados de la Evaluación de Impacto

Notificación brechas de seguridad

Obligatoriedad de comunicar y avisar sobre las incidencias de seguridad que comprometan datos personales en un plazo de máximo 72 horas, por regla general

Nuevos derechos

Se añaden a los derechos ARCO dos nuevos derechos para los interesados: Derecho de Portabilidad y Derecho de Olvido

Datos Sensibles

Se conservan las tres categorías de datos, aunque los datos genéticos y biométricos, así como las sanciones e infracciones penales, pasan a considerarse de carácter sensible

Consentimiento

El consentimiento tácito se invalida, y se establece que en la recogida de datos el consentimiento debe ser específico, expreso y verificable

 

Recomendaciones por parte de OptimumTIC 

La creación del RGPD es un reflejo de la concienciación global en relación a la seguridad de la información que manejan las empresas, y se convertirá en una responsabilidad para las compañías exigir y comprobar las garantías en este ámbito de los terceros que puedan convertirse en sus colaboradores, por tanto, es esencial que las empresas apliquen todas las medidas de seguridad requeridas, tanto para evitar y mitigar riesgos, como para aumentar su valor como compañía.

Desde OptimumTIC ofrecemos servicios de adaptación a la LOPD/RGPD con el objetivo de adaptar la compañía a los estándares y requisitos básicos y de calidad que requiere la normativa. Mediante un análisis de los procesos y de las herramientas de la empresa que intervienen en el tratamiento de datos y en la seguridad de la información, OptimumTIC establece una planificación de adaptación de alcance integral a todos los niveles de la empresa para poder demostrar una responsabilidad proactiva y minimizar los riesgos relativos a la seguridad de la información tanto en procesos internos como con terceros vinculados a la empresa

A partir del análisis elaboramos la documentación requerida y optimizamos procesos organizativos para garantizar que los procedimientos diarios cumplirán con las medidas de seguridad requerida. Además, ofrecemos y recomendamos contar con un servicio de Contract & Vendor Management que, por un lado, contribuirá a garantizar que las formalizaciones contractuales que se realicen con terceros cumplan con los requerimientos legales y de seguridad y, por otro, aportará optimización en la gestión de terceros y proveedores, tanto en el análisis de ofertas como en el seguimiento de proyectos.

Por último, creemos en la formación como pieza clave para las empresas, convirtiéndose en una de las medidas de seguridad más importantes, pues los propios empleados de la empresa son los que, en última instancia, garantizan que los procedimientos establecidos se cumplan o no y añaden el valor de seguridad que puede ser un elemento diferencial para nuestra empresa.