Por dónde empezar: 10 pasos para abordar GDPR
- Normativa
Toda organización que trate datos personales de ciudadanos europeos tiene un reto hoy: llegar al 25 de mayo con la garantía de que ha realizado las adaptaciones necesarias para cumplir con GDPR. En esa fecha el Reglamento, aprobado en 2016, empezará a aplicarse. Ten en cuenta estas consideraciones para conocer todo lo que implica y qué hacer.
También puedes leer... El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad |
El Reglamento General de Protección de Datos europeo se empezará a aplicar el 25 de mayo, fecha en la que las empresas deberían de tener listo todo para cumplir con esta norma que es de aplicación directa en todos los países miembros de la UE.
Implica cambios que os hemos ido contando a lo largo de los últimos meses. Hoy publicamos una recopilación que ha realizado Prodware con los principales cambios a seguir para llevar a cabo la adaptación porque es importante, antes de empezar, comprender las nuevas exigencias y las medidas en las que hay que hacer fuerza.
Paso 1: conciencia
Asegúrate de que las personas relevantes de tu organización (como los responsables de diseñar los procedimientos) conozcan la nueva normativa de privacidad. Debes evaluar el impacto de GDPR en tus procesos, servicios y bienes actuales y qué ajustes son necesarios para cumplir con la normativa. Ten en cuenta que la implementación de GDPR puede requerir una gran cantidad de recursos humanos y materiales y, por lo tanto, hay que comenzar cuanto antes.
Las implicaciones y la complejidad de su cumplimiento aún no han calado en algunas organizaciones. Muchas organizaciones se dejan llevar por el mensaje simplista de que, si los datos personales están seguros, el cumplimiento de la normativa no les supondrá ningún problema. No haber sufrido incidentes de seguridad hasta la fecha no supone el cumplimiento de GDPR.
Paso 2: derechos de los sujetos de datos
Con GDPR, los derechos individuales de las personas cuyos datos personales se procesan se expanden y refuerzan. Prepárate para responder a las solicitudes a tiempo y de la manera correcta. Piensa en los derechos existentes, como el derecho de acceso y el derecho a rectificación y eliminación. Pero también ten en cuenta los nuevos derechos, como el derecho a la portabilidad de datos. Con este derecho, debes asegurarte de que los interesados puedan ver fácilmente sus datos y luego traspasarlos a otras organizaciones.
Las personas también pueden presentar quejas ante la autoridad competente sobre cómo gestionan sus datos. La agencia está obligada a gestionar estas reclamaciones.
Paso 3: descripción general del tratamiento
Documenta qué datos personales procesas y con qué propósito lo haces, de dónde provienen estos datos y con quién los compartes. Según GDPR, debes poder demostrar que tu organización actúa de acuerdo con la nueva legislación.
También deberás adaptar tus procesos para adecuarlos a los nuevos requisitos. Por ejemplo, si los interesados te piden que corrijas o elimines sus datos, debes informar de ello a las organizaciones con las que has compartido sus datos.
Debes indicar también en la descripción general por categoría de datos la base legal en la que se apoya cada tratamiento de datos. Por ejemplo, ¿apelas a un interés legítimo o pides consentimiento a las partes involucradas?
Paso 4: evaluación de impacto de la protección de datos
Con GDPR puedes estar obligado a llevar a cabo la denominada Evaluación de Impacto de Protección de Datos (DPIA). Es un instrumento para mapear los riesgos de privacidad de la obtención y tratamiento de datos personales que se realiza con antelación a estos procesos con el fin de tomar las medidas necesarias para reducir los riesgos. Debes realizar un DPIA si es probable que el tratamiento de datos implique un alto riesgo para la privacidad.
Paso 5: privacidad por diseño y privacidad por defecto
Familiarízate con los principios de privacidad por diseño y privacidad por defecto que son obligatorios con GDPR y cómo puedes implementar estos principios dentro de tu organización. La privacidad por diseño significa que, al diseñar productos y servicios, garantizas que los datos personales estén protegidos adecuadamente. La privacidad por defecto significa que se deben tomar medidas técnicas y organizativas para garantizar que, como estándar, solo se traten los datos personales que sean necesarios para el propósito específico que se desea lograr.
Por ejemplo, en tu web, la casilla de aceptación de condiciones de privacidad no debe estar marcada por defecto, y si alguien quiere suscribirse a tu boletín, no solicites más información de la necesaria.
Paso 6: delegado de protección de datos
En virtud de GDPR, las organizaciones pueden estar obligadas a nombrar un Delegado de Protección de Datos (DPD).
Lo tienen que tener empresas de más de 250 empleados y puede ser interno o externo a la compañía.
Paso 8: acuerdos con terceros
¿Has subcontratado el tratamiento de datos a una empresa externa (“el encargado” del que habla GDPR)? Si es así, evalúa si las medidas acordadas en los contratos existentes con tus encargados del tratamiento son aún suficientes y cumplen con los requisitos de GDPR. Si no, realiza los cambios oportunos.
Paso 9: supervisor principal
¿Tu organización tiene sucursales en varios estados miembros de la UE?, ¿tu tratamiento de datos tiene un impacto en varios Estados miembro? En estos casos, puedes elegir tratar directamente solo con el supervisor del país donde esté tu actividad principal. Es lo que se denomina autoridad de control principal. Si esto afecta a tu negocio, determina ante qué supervisor debe responder tu organización.
Paso 10: consentimiento
Algunos tratamientos de datos requieren consentimiento por parte de los interesados. GDPR establece unos requisitos más estrictos para el consentimiento. Por lo tanto, evalúa la forma en que solicita, recibe y registra el consentimiento. Ajusta este modo si es necesario. A partir de ahora tienes que poder demostrar que has recibido un consentimiento válido de las personas para procesar sus datos personales. El procedimiento para retirar este consentimiento debería ser tan fácil como el de otorgarlo.