El Reglamento General de Protección de Datos es la norma relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.
Entró en vigor el 25 de mayo de 2016 y es de ámbito europeo por lo que es de obligado cumplimiento para cualquier empresa que ejerza su actividad en la Unión Europea. El no cumplimiento del RGPD implica sanciones de hasta 20 millones de euros.
Esta nueva normativa incorpora dos conceptos de carácter general que constituyen la mayor innovación del RGPD:
1. El principio de responsabilidad proactiva
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento que hace de los datos es conforme con el Reglamento.
Se exige una actitud consciente, diligente y proactiva por parte de las organizaciones que están obligadas a analizar qué datos tratan, con qué finalidades lo hacen, a aplicar las operaciones necesarias para un tratamiento adecuado y demostrar que lo son ante los interesados y ante las autoridades de supervisión.
2. El enfoque de riesgo
El RGPD señala que algunas de las medidas que establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. Es decir, lo que puede ser adecuado para una gran organización puede no ser necesario para una pequeña empresa; la diferencia estriba en el volumen y tipo de datos que se manejan.
Algunas de las claves que permiten dar cumplimiento a la normativa son:
1. Registrar las actividades de tratamiento de los datos
El RGPD exige un registro en el que se describa, entre otras cuestiones, qué datos se recogen, con qué finalidad se tratan, a quién se comunican, si se transfieren a terceros países, cuándo se podrán suprimir y qué medidas técnicas y organizativas se aplican para garantizar su seguridad.
Además de ser una obligación para los responsables, el mantenimiento de estos registros sirve para demostrar la conformidad con el RGPD y acreditar su cumplimiento
2. Pedir consentimientos no tácitos
Hasta ahora, la mayoría de empresas y profesionales entendían que, de manera tácita, contaban con el consentimiento de los interesados para el tratamiento de sus datos. Lo habitual era incorporar, en la documentación compartida, textos informativos pero que no implicaban, de manera fehaciente, una aceptación de las condiciones.
La nueva normativa obliga a resolver este aspecto obteniendo, de manera previa e inequívoca, el consentimiento de los afectados para el tratamiento de sus datos. Además, se amplían las exigencias porque es necesario garantizar que el interesado conoce las condiciones del tratamiento de sus datos y el alcance de estas operaciones.
3. Informar de manera clara y sencilla
El Reglamento especifica que el responsable del tratamiento de datos tomará las medidas oportunas para asegurar que los interesados comprenden la información relativa al tratamiento. Por ello, establece que esta información será de fácil acceso y se ofrecerá de forma concisa, transparente, inteligible, con un lenguaje claro y sencillo.
Así pues, deben revisarse los textos y las leyendas informativas utilizadas en los medios de recogida de datos (documentos en papel, formularios web, contratos, escritos, etc.), para adecuarlas a las nuevas exigencias del RGPD.
4. Crear los procedimientos que garanticen los nuevos derechos que contempla el RGPD
A los tradicionales derechos existentes respecto a la protección de datos, los derechos de acceso, de rectificación, de cancelación y de oposición, el RGPD añade tres nuevos derechos:
- el derecho a la portabilidad del dato: es el derecho a transferir los datos personales de un responsable del tratamiento a otro, sin que pueda existir oposición del primero.
- derecho a la limitación en el tratamiento: se refiere a la capacidad del interesado de exigir un uso limitado de sus datos.
- derecho al olvido: el interesado tiene derecho a que el responsable del tratamiento suprima, sin retrasos injustificados, los datos personales que le conciernen.
Por tanto, hay que crear los procedimientos necesarios para garantizar una actuación eficaz en la preservación de estos nuevos derechos.
5. Evaluar el impacto sobre los datos tratados, cuando los riesgos sean especialmente elevados
Esta evaluación está indicada cuando existe la posibilidad de que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, implique un riesgo elevado para los derechos y libertades de las personas. En este caso, el responsable realizará, antes del tratamiento, una evaluación del impacto del tratamiento de los datos.
La evaluación deberá incluir, como mínimo, una descripción sistemática de las operaciones de tratamiento, de la necesidad y la proporcionalidad de las operaciones con respecto a su finalidad, una valoración de los riesgos y qué medidas están previstas para afrontarlos.
6. Seleccionar proveedores que ofrezcan garantías
En el caso de que las compañías hayan optado por una externalización o utilicen servicios Cloud que impliquen tratamientos de datos, se deberá garantizar que los proveedores, a los que el RGPD denomina, encargados, garantizarán la aplicación de las medidas técnicas y organizativas apropiadas para que el tratamiento de los datos cumpla con los requisitos del Reglamento.
El encargado del tratamiento quedará vinculado a esta obligación mediante un contrato u otro acto jurídico que estipule que el encargado tratará los datos únicamente siguiendo instrucciones documentadas del responsable y garantizará que, las personas autorizadas para tratar datos personales, se comprometen a respetar la confidencialidad necesaria.
En Nakima somos expertos en auditar el cumplimiento de este Reglamento y proporcionamos las herramientas necesarias para adaptarse a sus exigencias. Si desea más información al respecto no dude en ponerse en contacto con nosotros.