Noticias de NavarraDiario de Noticias de Navarra. Noticias de última hora locales, nacionales, e internacionales.

Saltar al Contenido

Períodico de Diario de Noticias de Navarra
VANESSA GUTIÉRREZ Asesora Legal en Vialmedia Data Management-Consultora en Protección de Datos y SGSI

EL RGPD y su adaptación en las empresas navarras

Martes, 19 de Junio de 2018 - Actualizado a las 06:02h

Vanessa Gutiérrez, experta en ciberseguridad, en los exteriores de las oficinas de Vialmedia.

Vanessa Gutiérrez, experta en ciberseguridad, en los exteriores de las oficinas de Vialmedia. (Foto: Iban Aguinaga)

Galería Noticia

Vanessa Gutiérrez, experta en ciberseguridad, en los exteriores de las oficinas de Vialmedia.

El pasado 25 de mayo todos fuimos el centro de una lluvia de correos solicitándonos nuestro consentimiento para continuar tratando nuestros datos de carácter personal;y es que ese fenómeno se debió a la entrada en vigor de del nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 - Reglamento General de Protección de Datos (RGPD), normativa que armoniza la legislación en los países de la UE y que trajo consigo una serie de principios y obligaciones, entre ellos el consentimiento para el tratamiento de nuestros datos de forma inequívoca, motivo por el cual recibimos esos correos, que ha generado un impacto no solo en el enfoque que hasta ese momento se daba a la protección de datos de carácter personal sino a los principios y medidas que muchas entidades ya tenían asimiladas en su operativa ordinaria.

Esta normativa que afecta a todas las empresas, organismos públicos, profesionales autónomos, comunidades de propietarios y asociaciones que recojan y traten datos de carácter personal es el resultado de una sociedad cambiante impulsada por el uso de nuevas tecnologías que ha llevado a una exposición excesiva de los datos personales y que exige al responsable de su tratamiento ser más transparentes sobre la forma de recabar, procesar y guardar la información de carácter personal de sus clientes y usuarios, obligando a las organizaciones a establecer nuevos sistemas de gestión de información, implantar medidas de seguridad técnicas y organizativas e incluso hasta la forma de gestionar las incidencias ante una brecha de seguridad.


RGPD Y ADAPTACIÓN EN EMPRESAS

La RGPD introduce una variación del enfoque desde la creación y, actualmente eliminado, registro de un fichero trasladando dicho foco de atención a la gestión y debida diligencia en el tratamiento de esos datos (contenidos en un fichero) desde su recogida hasta la eliminación de los mismos;es por ello que para cumplir con dicho propósito al momento de adaptarse a la RGPD las organizaciones deberán tener en cuenta lo siguiente:

- El principio de Responsabilidad Activa, es decir la obligación de analizar los datos que trata la organización y determinar las finalidades de su uso, así como la de llevar su propia gestión del riesgo, para eliminar o reducir a mínimos una posible vulneración a la intimidad de las personas. La RGPD también establece el principio de Rendición de Cuentas o Accountability, por el que los responsables tienen la obligación de justificar todo su trabajo relacionado con los protocolos de actuación que deberán estar documentados en el Registro de Actividades Tratamiento.

- La privacidad en el diseño y por defecto;las organizaciones deberán diseñar las medidas de seguridad de acuerdo al producto, servicio o actividad que comercializan y que implique un tratamiento de datos.

- El consentimiento inequívoco, se elimina el consentimiento tácito (aceptación mediante el silencio) y para poder justificar ante la autoridad que el consentimiento ha sido obtenido de forma lícita se requiere que exista una acción positiva del interesado.

- Evaluaciones de Impacto, cuando el tratamiento de datos suponga un alto riesgo para los derechos y libertades de las personas físicas.

- Nombramiento de un Delegado de Protección de Datos (DPO);es la nueva figura introducida por el reglamento de forma obligatoria en ciertos casos y para su nombramiento (dentro de la empresa o de forma externa) es recomendable un profesional con formación jurídica o con conocimiento y experiencia en protección de datos. La principal responsabilidad del DPO es asesorar al responsable de seguridad de la empresa en todo lo relativo a la normativa de protección de datos, supervisar el cumplimiento de esta y cooperar con la autoridad de control como es la Agencia Española de Protección de Datos (AEPD).

- Registro de Actividades de Tratamiento;es un registro interno de todos los tratamientos de datos personales que lleva a cabo la entidad, y solo es obligatorio en aquellas organizaciones con más 250 empleados, o si los datos que se traten son sensibles (salud, origen étnico, religioso, orientación sexual, genéticos y biométricos), condenas e infracciones, así como aquellos que involucren un riesgo para los derechos y libertades de las personas.

- Nuevas categorías especiales de datos;los datos especialmente protegidos ahora pasan a denominarse “categorías especiales de datos” a dicho grupo se incluyen dos nuevas categorías: los datos genéticos (características genéticas, heredadas o adquiridas) y biométricos (datos personales obtenidos a través de un tratamiento técnico específico).

- Notificación de brechas o “quiebres” de seguridad;este tipo de incidencias debe ser notificada a la autoridad de control en un plazo máximo de 72 horas. La entidad deberá activar los protocolos una vez ocurra la incidencia, llegando incluso a ponerse en contacto con las personas afectadas en caso se traten de datos de carácter sensible.

- Modificación de las obligaciones del encargado de tratamiento;se amplía el contenido mínimo del contrato entre las empresas y en la mayoría de casos con sus proveedores de servicios donde se deberá comprender la naturaleza del tratamiento, el tipo de datos, la categoría de los interesados, el tiempo de duración del tratamiento, entre otros aspectos.

Es recomendable que las empresas cuenten con un asesoramiento especializado que les permita implantar de forma adecuada las medidas de seguridad, actualizar los documentos legales, realizar auditorías internas y formar al personal en el tratamiento de estos datos y el deber de secreto y confidencialidad. Es importante que los responsables de las entidades tomen en cuenta que el incumplimiento del RGPD contempla sanciones y multas que pueden alcanzar cuantías de hasta 20 millones de euros o el 4% del volumen de negocio del ejercicio anterior.