8 cuestiones sobre GDPR que deberías saber responder
- Normativa
A estas alturas, si no se ha hecho nada para adaptarse al nuevo Reglamento General de Protección de Datos o GDPR, en sus siglas inglesas, comienza a haber razones para estar nerviosos, ya que empezará a aplicarse el próximo 25 de mayo. Panda Security nos pone a todos a prueba para evaluar nuestro grado de conocimiento, a través de 8 preguntas, con sus respuestas.
También puedes leer... |
Hemos dividido las preguntas de Panda Security en básicas, aquellas a las que todos deberíamos de saber responder aunque sólo sea por las veces que lo hemos oído o leído; estándar, esas que entrañan cierto nivel de dificultad pero no mucho, y las premium, que son para nota y probablemente sabes la respuesta porque tu empresas ya ha recorrido buena parte del camino de adaptación a GDPR.
Básicas
– ¿Qué pasará con las Leyes de Protección de Datos de los Estados miembros?
El Reglamento no las deroga ni puede derogarlas, pues dicha atribución corresponde a cada Estado miembro. El Reglamento provoca el “desplazamiento normativo” de las Leyes de los Estados en todo lo que se oponga a la regulación europea. En consecuencia, en los Estados miembros será necesario tener en cuenta tanto la GDPR como la Ley del cada Estado. Cuando haya conflicto entre una y otra, entonces, aquello dictado por la GDPR aplicará por encima de la Ley del Estado miembro.
– ¿Cambia la forma en la que hay que obtener el consentimiento?
Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
Estándar
1– ¿Qué figuras son básicas en este Reglamento a la hora de tratar los datos?
Responsable del tratamiento. La persona o el departamento de la empresa responsable de define qué datos personales necesita y con qué propósito. Entonces, la empresa solicita los datos de las personas (empleados, clientes, etc. público).
Encargado del tratamiento. Persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que trate datos personales en nombre del responsable del tratamiento. El encargado no determina el propósito y el o los medios del tratamiento. Ellos sólo procesan los datos conforme a lo solicitado por el controlador.
– ¿Deben las empresas revisar sus avisos de privacidad?
Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.
– ¿Cuándo, a quién y cómo tengo que notificar un incidente de seguridad?
Siempre que afecte a datos personales de personas físicas, tanto si el acceso es pérdida o robo como si es un simple acceso a esos datos. Si no se notifica el incidente cuando se requiera hacerlo, en las siguientes 72h de su detección, puede resultar en multas de hasta 10 millones de euros o el 2% de su facturación global.
¿A quién? Es importante tener en cuenta es que hay dos umbrales diferentes, uno para notificar a los clientes o público en general y otro para alertar a la DPA.
Si los datos personales accedidos incluyen cualquier identificador, por ejemplo, direcciones de correo electrónico, ID de cuenta online o IP, será necesario notificarlo a las personas físicas afectadas.
Si los datos contienen información monetaria (números de cuenta bancaria u otros identificadores financieros) entonces el incidente es “probable que dañe” al individuo y se debe notificar a la DPA.
¿Cómo? Además de describir la naturaleza del incidente, la notificación debe mencionar los tipos de datos, el número de individuos y el número de registros expuestos. La empresa debe describir las posibles consecuencias del incumplimiento, así como cualquier esfuerzo de mitigación que se deba realizar.
– ¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento?
No. El Reglamento está en vigor, pero no será aplicable hasta el 25 de mayo de 2018. Sin embargo, es útil para las empresas valorar ya la implantación de algunas de las medidas previstas como, por ejemplo, realizar análisis de riesgo de sus tratamientos, comenzando por identificar el tipo de tratamientos que realizan; establecer el registro de tratamientos de datos, implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas. También diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades o a los interesados los incidentes de seguridad que pudieran producirse.
Para nota
– ¿Cuáles son los principales organismos implicados en la revisión de GDPR y en hacerlo cumplir?
Comité Europeo de Protección de Datos. El Comité está compuesta por una autoridad de control de cada Estado miembro (28) y del Supervisor Europeo de Protección de Datos. La función del Comité será revisar lo que está funcionando y lo que no está funcionando y también dar asesoramiento y orientación.
Autoridad de Control de Protección de Datos (DPA). Autoridad pública independiente que se establece por un Estado miembro para hacer cumplir la legislación local.
¿Se pueden subcontratar o compartir las tareas del DPO (Data Protection Officer?
Las empresas de presupuesto limitado pueden subcontratar o compartir las tareas del DPO. La Regulación establece que un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento. Si se subcontrata, sería necesario establecer un acuerdo de nivel de servicio (SLA) que garantice que puede cumplir con la GDPR, no sólo marcando la casilla de verificación del DPO, sino que el DPO pueda responder a la solicitud de los datos por parte de interesados y el resto de derechos establecidos en el Reglamento.