Cada día son más las personas que me consultan “qué obligaciones tiene mi empresa en lo de Protección de Datos”. Y es que nos están bombardeando con el nuevo Reglamento europeo de Protección de Datos y con las importantes sanciones en caso de que no cumplamos esta normativa.

Si estás perdido en este tema no te preocupes, en unos sencillos pasos te explicaré todo lo que debes hacer para adaptar tu empresa al RGPD.

¿Cuáles son las obligaciones concretas de la empresa?

Esta nueva normativa de Protección de Datos será muy positiva.

Por un lado, el usuario de servicios estará más protegido, mientras que las empresas, obligadas a implementar medidas para cumplir con esta normativa, gozarán de una mayor seguridad frente a cualquier ataque. Sin embargo, encuestas recientes proporcionan unos resultados preocupantes sobre el conocimiento y la preparación de las empresas ante la llegada de la ley.

Te resumo las principales obligaciones que se imponen a cualquier empresa o negocio que trate datos personales.

obligaciones de las empresas que tienen que cumplir en proteccion de datos

Registro de actividades de tratamiento

Este registro de actividades de tratamiento no deben realizarlo todas las empresas sino aquellas que

  • tengan más de 250 trabajadores
  • traten datos sensibles
  • traten datos relativos a infracciones y condenas penales.

Contenido

El registro de actividades de tratamiento debe realizarlo tanto el responsable como el encargado del tratamiento y debe contener la siguiente información

  • Datos de contacto del responsable, encargado, sus representantes y del Delegado de Protección de Datos, en su caso.
  • Finalidades de ese tratamiento
  • Tipos de interesados y de datos personales
  • Destinatarios de las cesiones de esos datos
  • Si van a realizarse transferencias internacionales
  • Plazos de conservación de los datos
  • Medidas técnicas y organizativas que se van a implantar.

Información a los interesados

El RGPD incrementa la información que debemos facilitar a los interesados en el momento de recabar sus datos personales. Es obligatorio informar sobre:

  • Identidad del responsable
  • Fines del tratamiento
  • Destinatarios de los datos
  • Consecuencias de no facilitar la información
  • Derechos de los interesados: acceso, rectificación, supresión, limitación, portabilidad, y oposición
  • Base jurídica del tratamiento
  • Plazo de conservación de los datos
  • Identidad del DPO, en caso de que exista
  • Si van a realizarse transferencias internacionales

Consentimiento para el tratamiento

Con el RGPD el consentimiento del interesado para poder tratar sus datos personales debe ser expreso. La manifestación del consentimiento debe ser inequívoca, a través de una declaración o un acto afirmativo claro.

Los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD solo seguirán siendo válidos si se obtuvieron respetando los criterios fijados por el propio Reglamento.

Contratos con encargados del tratamiento

Con cualquier tercero al que cedamos datos personales para la prestación de algún servicio es necesario firmar un contrato para regular el tratamiento de los datos. En el contrato se especificarán las instrucciones del responsable del tratamiento al encargado en relación con:

  • Medidas de seguridad a aplicar
  • Si va a realizarse o no subcontratación
  • Cláusula de confidencialidad
  • Obligación de notificar los incidentes de seguridad
  • Destino de los datos una vez finalizada la prestación del servicio

Análisis de riesgos

analisis de riesgos reglamento general de proteccion de datos

Todas las empresas deberán realizar un análisis de riesgos tanto informáticos como de seguridad lógica e implantar las soluciones para evitar, bloquear o neutralizar esos ataques. Estos análisis deben ser periódicos y siempre que se produzcan modificaciones tecnológicas en la empresa.

Estas revisiones se basan en:

  • Identificar amenazas
  • Evaluar los riesgos
  • Tratar los riesgos

Evaluación de impacto en Protección de Datos

Cuando el tratamiento que realiza una empresa, por su naturaleza, alcance o fines, entrañe un alto riesgo para los derechos y libertades de las personas debe realizarse una Evaluación de Impacto. Las empresas obligadas a hacer esta EIPD son:

  • Empresas que realicen un tratamiento automatizado como elaboración de perfiles
  • Aquellas cuyas actividades consisten en un tratamiento a gran escala de datos sensibles o relativos a condenas o infracciones penales
  • Si realizan un tratamiento sistemático a gran escala de zonas de acceso público

Contenido

  • Descripción de los tratamientos realizados
  • Evaluar la necesidad y proporcionalidad del tratamiento
  • Analizar los riesgos
  • Establecer las medidas necesarias para afrontar esos riesgos

Delegado de Protección de Datos

Esta normativa europea introduce una figura de la que todo el mundo habla y es el Delegado de Protección de Datos. Será el encargado de supervisar en la empresa el cumplimiento de la normativa de Protección de Datos y de comunicarse con la AEPD.

No todas las empresas necesitan un DPO. Sólo será obligatorio en los siguientes casos:

  • Si se trata de Entidades u organismos públicos
  • Cuando el tratamiento consista en realizar un seguimiento regular y sistemático del interesado a gran escala
  • Empresas que realicen tratamientos a gran escala de categorías especiales de datos

Las empresas no incluidas en esa clasificación pueden también nombrar un DPO si lo desean.

Notificación de incidentes de seguridad

Se trata de una de las principales novedades introducidas por el RGPD. Significa que, en caso de producirse una fuga de datos, el responsable del tratamiento tiene la obligación de comunicar la brecha de seguridad a la autoridad de control competente y a los afectados.

Se deben notificar las incidencias de seguridad que impliquen una violación de datos personales sin demora injustificada y en un plazo máximo de 72 horas después de que haya tenido constancia de ella.

Contenido

El contenido de esa comunicación debe incluir:

  • Número de afectados y tipo de datos
  • Circunstancias en las que se ha producido
  • Posibles consecuencias de esa violación
  • Medidas adoptadas para reducir los posibles efectos

Preguntas frecuentes sobre el RGPD

¿Cómo afecta el RGPD a tus bases de datos?

Una de las acciones más importantes a realizar es validar toda la información existente. Una tarea complicada pero que es la base para el cumplimiento del nuevo reglamento. Debes renovar el consentimiento de todos esos contactos de tus bases de datos para poder seguir tratando esos datos.

¿Cuál es la legitimación para el tratamiento de datos?

Las bases jurídicas que legitiman el tratamiento de datos personales son:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Cumplimiento de una obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

¿Qué es una brecha de seguridad de los datos?

El RGPD lo define como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Por ejemplo, la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización o el borrado accidental de algunos registros.

¿Puedo realizar envíos masivos de mail sin autorización expresa?

No puedes realizar mailing masivo sin tener el consentimiento expreso de los afectados. En nuevo Reglamento hace hincapié en que deberás obtener el consentimiento de forma libre, específica, informada y que no presente ambigüedad.

¿Se pueden instalar cámaras de videovigilancia con la finalidad de control empresarial?

es posible instalar esas cámaras pero solo cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes y no haya otra medida más idónea. Asimismo, se deberá informar personalmente a los trabajadores, o en su caso, a través de la representación sindical, por cualquier medio que garantice la recepción de la información.

Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI?

Sólo podrán incluirse estos datos cuando la finalidad que justifica esa inclusión es precisamente garantizar su identificabilidad en el desempeño de sus funciones. Aquí el tratamiento de los datos puede considerarse amparado en el marco de la ejecución de un contrato.

Y ahora que ya conoces lo que debes hacer para adaptar tu empresa al nuevo Reglamento, ¿te parece complicado?

Sólo debemos concienciarnos en garantizar la privacidad de los datos personales que manejamos. ¿Tú ya estás concienciado? Espero que me comentes tus impresiones.

¿Necesitas cumplir el RGPD?

¿Qué obligaciones tiene la empresa en Protección de Datos?
4.5 (90%) 18 votos