
La importancia de la adecuación al Reglamento General de Protección de Datos
El pasado 25 de
mayo de 2018 entró en vigor el nuevo Reglamento General en Protección
de Datos (RGPD). Uno de los principales objetivos de la Comunidad Europea con
la elaboración del nuevo reglamento era evitar que las organizaciones que
trabajaran en más de un país tuvieran que cumplir con legislaciones distintas
en materia de protección de datos, facilitando así el negocio con y en la Comunidad
Europea.
Además, el reglamento
pretendía adaptar las nuevas legislaciones a los nuevos avances en tecnología y
comunicación que, en su mayor parte, no quedaban contemplados en anteriores
normativas. Posteriormente a la llegada del RGPD, se aprobó la nueva Ley
Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales
(LOPDGDD).
El Reglamento General de
Protección de Datos incorporaba nuevos principios y novedades, siendo los más
importantes los derechos para los interesados (limitación del
tratamiento, portabilidad y olvido), el principio de privacidad por defecto
y desde el diseño (Privacy by default & by design), el cambio en
la validez de los consentimientos, la obligatoriedad de elaboración de
análisis de riesgos y posibles evaluaciones de impacto en la privacidad
(PIA por sus siglas en inglés) y la incorporación de la figura del Delegado
de Protección de Datos (DPO por sus siglas en inglés), entre otras.
Desde la aprobación del
Reglamento General de Protección de Datos, empresas de todo tipo y sector
iniciaron proyectos globales de adecuación a las nuevas legislaciones.
Las sanciones que se
desprenden del mal uso de los datos de carácter personal son variables. El
hecho de no adecuarse al Reglamento puede comportar sanciones de hasta 20
millones de euros o el 4% de los beneficios anuales, cualquier que
sea la mayor cantidad de las dos.
Además, con la entrada
en vigor del Reglamento General de Protección de Datos, dos figuras ya
existentes ganaron aún más relevancia en lo que concierne a la gestión de datos
personales: el responsable y encargado del tratamiento.
Frecuentemente, las
organizaciones y empresas externalizan parte de sus tratamientos de los datos
personales con proveedores u organizaciones externas. De este modo, son ejemplo
de encargos de tratamiento de datos cuando una organización, la cual ostenta el
rango de responsable del tratamiento, contrata a otra empresa externa, la cuál
actuará como encargado del tratamiento de los datos personales.
En estos casos, se
formaliza un contrato de encargado de tratamiento que vincula a responsable
y encargado y regula, a su vez, las relaciones entre ambos respecto al
tratamiento de los datos personales.
Todos aquellos contratos
de encargado de tratamiento que estuvieran formalizados previamente a la
entrada en vigor del Reglamento General de Protección de Datos no quedaron
automáticamente revocados con la aplicabilidad de dicha norma. Sin embargo, se
estableció un plazo determinado para adecuarlos a la nueva normativa.
La Ley Orgánica 3/2018,
de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos
Digitales, especificó en su disposición transitoria quinta que todos
aquellos contratos de encargado del tratamiento que fueran formalizados
previamente al 25/05/2018 debían ser modificados y adaptados al artículo 28 del
Reglamento General de Protección de Datos antes del próximo 25 de mayo de
2022.
Por tanto, durante dicho
plazo, cualquiera de las partes podrá exigir la modificación del
contrato con la finalidad de adaptarlos al Reglamento General de
Protección de Datos.
Por tanto, y aclarado lo que
se requiere, ya no hay excusa para no adaptarse a la nueva normativa en
protección de datos, y desde OptimumTIC recomendamos iniciar dicha
adaptación lo antes posible.
En OptimumTIC, dentro de
nuestros servicios elaboramos el Análisis GAP si este no hubiera sido
creado por la compañía, para establecer el Plan de Acción o pasos a
realizar para la adaptación hacia el Reglamento General de Protección de Datos.
En base a nuestra experiencia
en este tipo de proyectos y gracias al carácter transversal de nuestro equipo,
suplimos todas las medidas técnicas, legales y organizativas en las que
se traducen los requerimientos del RGPD, realizando los proyectos o acciones
que deban desarrollarse para acercar la organización al cumplimiento normativo.
Esta transversalidad queda
plasmada en la realización de un análisis de situación de la organización, Plan
de Acción bien definido, y posible establecimiento de medidas de seguridad,
entre otros.
Además, trabajamos con el
software de privacidad OneTrust, que además de permitir la personalización
total de la jerarquía de la organización, también mantiene el inventario de
activos, el registro de consentimientos permite elaborar PIAs y crear workflows dentro
de la compañía, entre otras funcionalidades.
Mediante el soporte de esta
herramienta, OptimumTIC contribuye a diseñar, desarrollar y optimizar a
diversas organizaciones en su proyecto de adecuación al RGPD y cumplimiento
reglado.
Si desea más información sobre nuestros servicios o productos, puede
contactar con nosotros sin compromiso a través de nuestra página web:
www.optimumtic.com o escribiéndonos a info@optimumtic.com