Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

Siete actuaciones básicas para adaptarse a GDPR

  • Normativa

GDPR

Empieza la cuenta atrás. A menos de un mes de que finalice el año, las empresas tendrán que elaborar y desarrollar un plan de actuación a la hora de abordar los cambios regulatorios que exige GDPR antes del 25 de mayo de 2018.

Es un reglamento que afecta de forma transversal a todas las organizaciones, en la medida en la que afecta a todos los departamentos que tratan datos, desde el jurídico, de marketing, de TI, recursos humanos, dirección, etc.

También puedes leer...

La nueva Mafia

El riesgo de los altavoces inteligentes

Los cinco grandes mitos de las Brechas de Seguridad

Consideraciones para la creación de un SOC

Cómo utilizar la Dark Web para la inteligenciad de amenazas

“Como cualquier otro plan debe ser realizado de una forma sistemática, documentada, mediante evidencias, y tener carácter revisable”, explica Adigital, la Asociación Española de la Economía Digital.

Esta Asociación recomienda seguir siete pasos básicos para realizar con éxito la adaptación:

1. Mapeo de los datos que se tratan

Esta primera fase tiene como objetivo el conocimiento. La actividad que se desarrolla dentro de ella se debe centrar en conocer y realizar un análisis de los datos que se tratan:

- de qué categoría de datos se trata, es decir, sin son datos de identificación, sociodemográficos, de comportamiento, de salud, etc.
- cuáles son los tratamientos o procesos que se realizan con los datos.
- dónde están los datos.
- quién tiene acceso a esos datos de dentro y de fuera de la empresa.
- para qué se tratan esos datos o qué utilidad tienen para la empresa.

2. Legitimación del tratamiento

Consiste en estudiar e identificar cuál es el elemento o causa que permite tratar los datos. El Reglamento no aporta ninguna novedad esencial sobre este aspecto. Los motivos por lo que se pueden tratar los datos siguen siendo los mismos que los contemplados en la actual normativa de protección de datos.

Los datos de los usuarios únicamente se van a poder tratar cuando os usuarios hayan dado su consentimiento; sea necesario para realizar lo que ha solicitado el usuario o cliente (por ejemplo, para enviar el pedido, prestar el servicio, usar la app o para atender la consulta que nos han realizado, para participar en una promoción…); sea necesario para proteger un interés vital de los usuarios; sea necesario para dar cumplimiento a una obligación legal;
sea necesario para el cumplimiento de un interés público; o la empresa tenga un interés legítimo que prevalece sobre el derecho de los usuarios, como por ejemplo enviar publicidad de los productos de la empresa en determinadas circunstancias, lo cual exige la realización de una valoración y estudio documentado.

No obstante, el nuevo Reglamento sí que supone un cambio importante con respecto al consentimiento, ya que establece que debe ser manifestado a través de una declaración positiva, como puede ser a través de una casilla no pre-marcada. No cabe el consentimiento tácito, es decir, cuando el tratamiento no se fundamente en ninguno de los otros supuestos será necesario obtener el consentimiento expreso del usuario.

3. La obligación de información a los usuarios

Afecta especialmente a los responsables del tratamiento de los datos. No es una novedad en sí misma, puesto que ya está presente en la actual normativa. Sin embargo, se introducen algunos matices sobre el contenido y la forma en que debe facilitarse la información a los usuarios.

Sobre la forma, el Reglamento dice que se debe facilitar la información a los usuarios de manera concisa, transparente, inteligible, con un lenguaje claro y sencillo. Con respecto al contenido, el Reglamento añade una serie de nuevas cuestiones sobre las que hay que informar: la base jurídica sobre la que se realiza el tratamiento, la existencia y datos de contacto del delegado de protección de datos, la posibilidad de presentar reclamaciones ante la Agencia Española de Protección de Datos, y el plazo durante el que se van a tratar los datos.

Esto nos lleva a tener que revisar y adaptar al nuevo Reglamento las políticas de privacidad utilizadas para recabar datos.

4. Atención a los derechos de los interesados

Tampoco se puede decir que esta materia sea una completa novedad, aunque es cierto que reformula y matiza los derechos ya existentes y crea nuevos derechos como puede ser el derecho al olvido o de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad de datos.

Como novedades, el Reglamento establece que el plazo para atender los derechos es de un mes máximo, que puede prorrogarse hasta dos meses según las circunstancias y de forma justificada, y que la atención a los derechos debe ser gratuita, aunque se prevé que se pueda solicitar un pago en determinadas ocasiones, como en el que caso que la solitud sea repetitiva.

5. Las relaciones entre el responsable y el encargado del tratamiento de los datos

En esta fase será necesario analizar las relaciones entre la empresa y todos aquellos proveedores que, como consecuencia de la prestación de un servicio a la empresa, tratan los datos de los usuarios, por lo que desde el punto de vista de la protección de datos se les considera como encargados de tratamiento.

Sobre estas relaciones se puede decir que el reglamento respeta la situación actual, pero introduce algunos matices importantes.

El Reglamento impone a los encargados y subencargados obligaciones que les son aplicables directamente, como mantener un registro de actividades de tratamiento; determinar las medidas de seguridad aplicables a los tratamientos; designar a un Delegado de Protección de Datos en los casos que sea necesario, y colaborar con la Autoridad de control.

También impone a los responsables actuar con diligencia a la hora de seleccionar a los proveedores que actúan como encargados o subencargados, de forma que solo puedan contratar a aquellos que sean capaces y puedan demostrar que cumplen con el Reglamento ofreciendo las garantías necesarias o a través de certificados o adhesiones a códigos de conducta.

También recoge la obligación de que las relaciones entre los responsables y los encargados se formalicen por escrito y enumera el contenido mínimo que debe tener este documento. Por ello, se hace necesario revisar los acuerdos que existan entre responsables y encargados con la finalidad de verificar si tienen ese contenido mínimo y adaptarlos en su caso.

6. Medidas de responsabilidad proactiva

Una gran novedad del Reglamento con respecto a la normativa actual es la serie de medidas de carácter técnico y organizativo que incluye y que se han denominado de responsabilidad proactiva.

De acuerdo con la normativa actual, existe un catálogo de medidas de seguridad que las empresas deben adoptar en función de si los datos se califican como de nivel bajo, medio o alto. Sin embargo, a partir de mayo de 2018, las empresas deberán demostrar que actúan de forma diligente cada vez que vayan a desarrollar un tratamiento de datos —por ejemplo, cuando vayan a desarrollar una web, una app, un dispositivo Iot, contratar un nuevo software a nuevo proveedor o desarrollar una promoción, entre otras—.

Para ello tendrá que llevar a cabo distintas acciones:

1. En primer lugar, un análisis de riesgo documentado sobre cuál es el impacto que tiene sobre la protección de datos, el tratamiento que se va a realizar. Para valorar el grado de riesgo hay que tener en cuenta qué tipo de datos se tratan (si son datos sensibles sobre salud, opiniones políticas, creencias, etc.); qué volumen de datos se trata (si se refieren a una gran cantidad de personas o un % elevado de la población); si se realizan perfiles o segmentación de los datos; si se cruzan o enriquecen los datos obtenidos de los usuarios con otros datos o información; y si se están utilizando técnicas de seguimiento de comportamiento de los usuarios a través de cookies o, por ejemplo, de dispositivos móviles.

Según el tipo de respuesta que demos a estas preguntas, el tratamiento de datos será de mayor o menor riesgo.

2. En segundo lugar, en función del riesgo determinado, será necesario adoptar una serie de medidas con objeto de minimizar o eliminar los riesgos detectados, que son principalmente llevar un registro de actividades de tratamiento actualizado; adoptar medidas de protección de datos desde el diseño y por defecto; implementar medidas de seguridad técnicas y organizativas para asegurar la integridad y confidencialidad de la información; nombrar a un delegado de protección de datos cuando se realicen tratamientos de datos a gran escala o se realice una observación habitual y sistemática de los interesados, por ejemplo, a través de cookies; realizar una evaluación de impacto, para lo cual será necesario realizar un estudio exhaustivo sobre qué tipo de datos se tratan, quién tiene acceso a los datos, dónde se almacenan, etc., para, a continuación, valorar el riesgo y establecer medidas que puedan mitigarlo o eliminarlo; llevar a cabo consultas previas a la Autoridad según los casos; y notificar los incidentes de seguridad a la autoridad de control y a los usuarios cuando la incidencia pueda suponer un alto riesgo.

7. Las transferencias internacionales de datos

Finalmente, es necesario revisar si se está realizando algún tipo de transferencia de datos a países de fuera del Unión Europea y, en su caso, ver si se está haciendo con las garantías necesarias a través de un contrato que contengan las cláusulas tipo aprobadas por la Comisión Europea; a través del acuerdo de Privacy Shield —si existe un acuerdo con ese país como ocurre con Estados Unidos—; o corroborando que el país al que se transfieren los datos está reconocido como un país que ofrece un nivel de protección de datos similar al de la Unión Europea.

Si no concurre ninguna de estas situaciones sería necesario solicitar autorización a Agencia Española de Protección de Datos.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos