RGPD archivos — Prestigia

Todo lo que debes saber sobre el Reglamento General de Protección de Datos

https://seguridad.prestigia.es/wp-content/uploads/2018/04/eloi-font-reglamento-general-de-proteccion-de-datos-1024x690.png 1024 690 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/04/eloi-font-reglamento-general-de-proteccion-de-datos-1024x690.png 2 mayo, 2018 1 mayo, 2018

2 mayo, 2018

Si tienes una pyme y has oído hablar que el próximo 25 de mayo será aplicable el Reglamento General de Protección de Datos y no sabes muy bien qué significa ni si te afecta, muy probablemente te interesará continuar leyendo este artículo.

¿Qué es el Reglamento General de Protección de Datos (RGPD)?

Es una nueva regulación europea que, como Reglamento comunitario que es, se aplicará de forma directa y por igual en todos los Estados Miembros y afectará a organizaciones de la Unión Europea (UE), con independencia de dónde se realiza el tratamiento de sus datos, así como a organizaciones de fuera de la UE, cuando traten datos de ciudadanos de la UE derivados de una oferta de bienes o servicios o a causa de una monitorización y seguimiento de su comportamiento.

Como consecuencia de la próxima aplicación del RGPD, se está reformando la Ley Orgánica de Protección de Datos (LOPD), aunque está previsto que, pronto, se apruebe una nueva ley española de protección de datos que esté totalmente alineada con el RGPD.

¿Qué nuevas obligaciones tendrá tu empresa a partir de ahora?

La regulación europea crea un nuevo marco en el que se introducen cambios, no solamente a nivel jurídico, sino también de tipo técnico y organizativo para tratar de introducir la “cultura de la privacidad” en las organizaciones. Vayamos por partes.

Hasta ahora, si una empresa trataba datos personales de, por ejemplo, clientes, proveedores, empleados o usuarios de la página web o la App corporativas, tenía que notificar los correspondientes “ficheros” a la Agencia Española de Protección de Datos (AEPD) mediante la cumplimentación de unos formularios para su inscripción en el Registro General. Con el RGPD, esta obligación desaparece y muta a una nueva que es la de tener que implementar unos documentos, denominados “Registros de Actividades de Tratamiento” (RAT), en los que deben reflejarse los aspectos básicos de los tratamientos de datos. A diferencia de los ficheros, los RAT no se tienen que notificar ni inscribir en la AEPD, sino implementar.

Hasta ahora, también era necesario implementar cláusulas y políticas en los canales de recogida de datos (por ejemplo, en los contratos con clientes o proveedores, en contratos laborales, pero también en formularios de contacto de la web o la app de la empresa) para informar, entre otros aspectos, de la finalidad del tratamiento, si se iban a comunicar datos a terceros o dónde se podían ejercer determinados derechos, como los derechos de acceso, rectificación, cancelación y oposición. El RGPD refuerza dicha obligación y añade nuevos requisitos como, por ejemplo, tener que informar del plazo de conservación de los datos, si se van a transferir fuera de la UE y de las posibilidades de revocar el consentimiento prestado o de reclamar ante la Autoridad de Control. Ello implica que, antes del 25 de mayo es necesario volver a informar a todos los interesados (clientes, proveedores, empleados, etc.) de los nuevos requisitos que prevé el RGPD si se desea continuar tratando sus datos.

Dado que hay más información a ofrecer/notificar y que el RGPD también prevé que las comunicaciones se hagan con un lenguaje sencillo y claro, es recomendable que todo se realice a través de un sistema de doble nivel o capa. Así, por ejemplo, si tu empresa recoge datos personales a través de una página web o una app, será necesario incluir, debajo del formulario de datos, una versión resumida de la política de privacidad e informar de cómo el usuario puede acceder a una versión más detallada, que deberá estar en un segundo nivel.

Teniendo en cuenta que el RGPD exige un consentimiento inequívoco (en el que se exige una acción afirmativa por parte del interesado) y, en algunos casos, explícito, para tratar los datos con carácter general, es necesario revisar si en el pasado hemos tratado datos con consentimiento tácito de los interesados y, en consecuencia, proceder a regularizarlo antes del 25 de mayo.

Además, es necesario revisar los contratos suscritos con proveedores que accedan o traten datos por cuenta de la empresa (como, por ejemplo, las gestorías, asesoría o empresas de hosting) y suscribir con todos ellos un nuevo contrato para recoger los requisitos introducidos por el RGPD. Igualmente, es recomendable proceder a realizar un análisis de riesgos con una empresa especializada, que determine las medidas de seguridad más adecuadas para el tipo de tratamientos de datos que realiza la empresa, ya que con el RGPD desaparece el listado detallado de medidas de seguridad que había hasta ahora.

Además, si tu empresa lleva a cabo tratamientos de datos sensibles masivos o realiza evaluaciones de perfiles a gran escala, será necesario determinar si estás obligado a llevar a cabo una auditoría específica, denominada “Evaluación de Impacto”, para tratar de adaptar el producto o servicio a los requisitos del RGPD y de tener que designar un Delegado de Protección de Datos, figura que podrá ser interna o externa a la organización, que se encargará de supervisar de forma continuada el cumplimiento del RGPD por parte de la empresa.

Finalmente, a partir del 25 de mayo, habrá que notificar a la AEPD, en un plazo máximo de setenta y dos horas, las violaciones de seguridad que sufra la empresa cuando afecte a datos personales y suponga un riesgo para los derechos y libertades de los interesados. Ello se deberá realizar a través del canal de comunicaciones electrónicas habilitado por la misma AEPD. Además, si es probable que la violación de seguridad ocasione daños de entidad a los interesados, por ejemplo, porque se desvela información confidencial como contraseñas o se difunden datos sensibles de forma masiva, también será necesario notificarlo a los afectados.

¿Qué sucede si no cumples con el RGPD?

Además de perder la oportunidad de ofrecer una ventaja competitiva a los titulares de los datos, el incumplimiento del RGPD también puede acarrear la imposición de importantes sanciones administrativas que, en el peor de los casos, pueden llegar a ser de 20 millones de euros o, en el caso de las empresas, del 4% del volumen de negocio global del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocats, partner legal de Prestigia Seguridad

Principales novedades del Reglamento General de Protección de Datos (RGPD)

https://seguridad.prestigia.es/wp-content/uploads/2018/03/novedades-rgpd-1024x690.png 1024 690 Prestigia Prestigia https://seguridad.prestigia.es/wp-content/uploads/2018/03/novedades-rgpd-1024x690.png 4 abril, 2018 21 marzo, 2019

4 abril, 2018

Dentro de poco menos de dos meses será plenamente aplicable el Reglamento General de Protección de Datos (RGPD), un nuevo texto legislativo que establece el mismo marco normativo para todos los países de la Unión Europea y que introduce cambios jurídicos, técnicos y organizativos relevantes.

En primer lugar, es importante tener en cuenta que el RGPD aplicará tanto a entidades de la UE como de fuera de la misma si tratan datos de personas de la UE; así, las grandes plataformas que procesan y almacenan datos personales (tales como Facebook, Google o MailChimp) también deberán cumplir con el nuevo régimen jurídico y ello representa un importante punto de inflexión.

Además de reforzar algunas obligaciones ya existentes en la normativa española actual (LOPD), el RGPD prevé un nuevo principio rector, el principio de responsabilidad proactiva o accountability, en virtud del cual las entidades deben introducir en sus organizaciones la cultura del cumplimiento en el ámbito de la protección de datos para que adopten las medidas técnicas y organizativas que sean necesarias para asegurar que están en condiciones de cumplir con los principios, derechos y garantías del RGPD.

Junto con ello se introducen una serie de novedades que resumimos a continuación:

1. Registros de Actividades de Tratamiento. Se sustituye la obligación de inscribir los ficheros con datos de carácter personal en el Registro General de la Agencia Española de Protección de Datos (AEPD) por el de implementar un registro escrito de todas las actividades de tratamiento de datos.

2. Información. Se deberá informar más y mejor a las personas acerca del tratamiento de sus datos. Por ejemplo, habrá que informar de la base jurídica del tratamiento, del plazo de conservación de los datos, del derecho a revocar consentimiento o de reclamar ante la Autoridad de Control, entre otros.

Dicha información debe facilitarse con un lenguaje claro y sencillo. Por ello, la Autoridades de Control españolas (AEPD, Autoritat Catalana de Protecció de Dades y Agencia Vasca de Protección de Datos) recomiendan cumplir el deber de información a través de un sistema de doble capa, de manera que:

En la primera capa se incluya información básica y resumida del tratamiento de los datos.

En la segunda capa se incluya información adicional, mediante un sistema de preguntas y respuestas sencillas.

3. Consentimiento. Se exige, con carácter general, un consentimiento inequívoco que, a criterio de las Autoridades de Control, no puede ser tácito dado que el RGPD exige una manifestación inequívoca del interesado o clara acción afirmativa.

4. Encargados de tratamiento. Obligación de elegir Encargados de Tratamiento que ofrezcan “garantías suficientes” para aplicar medidas técnicas y organizativas apropiadas, y se añade nuevos requisitos a incluir en los contratos a suscribir con cada uno de ellos.

5. Medidas de seguridad. Se sustituye el régimen exhaustivo y detallado actual ya que el RGPD únicamente prevé que hay que establecer medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo que las entidades deberán realizar.

6. Derechos de los afectados. Además de introducir algunas novedades en relación con los derechos de Acceso y Oposición, se sustituye el derecho de Cancelación por el Derecho de Supresión/Derecho al Olvido y se introducen nuevos derechos como el derecho de Limitación (derecho a obtener la limitación de los datos cuando se cumplan determinadas condiciones) o el de Portabilidad (derecho a recibir los datos personales de forma estructurada, de uso común y lectura mecánica para transmitirlos a otro Responsable del Tratamiento).

7. Notificación de violaciones de seguridad. Obligación de notificar las violaciones de los datos personales a la AEPD, sin dilación indebida y a ser posible, antes de las 72 horas.

8. Delegado de Protección de Datos. Se prevé una nueva figura, la del Delegado de Protección de Datos, destinada a asesorar y supervisar el cumplimiento del RGPD en las entidades, siendo obligatorio su designación en los supuestos de tratamiento realizados por Autoridades u Organismos públicos o cuando las actividades principales consistan en operaciones que requieran evaluaciones de perfil o de tratamientos de datos sensibles a nivel masivo así como tratamientos de datos relativos a condenas e infracciones penales.

Finalmente, hay que tener presente que la nueva normativa también es más dura a la hora de sancionar las eventuales infracciones que se produzcan en este ámbito ya que se prevén multas que pueden llegar a ser de hasta 20 millones de euros o, en el caso de empresas, de un importe equivalente al 4% del volumen de negocio anual del ejercicio fiscal anterior.

*Post invitado, por Eloi Font, director de Font Advocats, partner legal de Prestigia Seguridad