Adaptarse al RGPD es fácil, si sabes cómo

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos. Si eres de los que ha dejado para última hora la adaptación de esta normativa europea, este artículo te interesa.

Esta normativa endurece las condiciones para que las empresas usen los datos de los usuarios correctamente y además comuniquen a estos dónde han obtenido sus datos, para qué los van a usar, durante cuánto tiempo los van a conservar, a quién se los van ceder y qué base jurídica les legitima para tratarlos.

 

Estos son los pasos para adaptarse al RGPD:

 

Delegado de Protección de datos1. Designar un Delegado de Protección de Datos

 

Es obligatorio para las organizaciones que traten datos personales de forma intensiva o datos sensibles a gran escala y administraciones públicas, no así para el resto de empresas.

El delegado es especialista en derecho de protección de datos. Se puede designar al Delegado oficialmente a través de un formulario de la sede de la AEPD aquí.

 

Registro de actividades de tratamiento2. Elaborar un Registro de Actividades de Tratamiento

 

Sólo las organizaciones de más de 250 empleados deben llevar un registro en el que deberá especificar:

  • qué datos recoge
  • con qué fin los trata
  • a quién o quiénes los comunica
  • si los transfiere a terceros países
  • qué medidas técnicas y organizativas aplicará para preservar su seguridad
  • cuándo podrá suprimirlos.

Excepciones:

  • pueda entrañar un riesgo para los derechos y libertades de los interesados
  • son relativos a condenas e infracciones penales
  • de manera no ocasional, incluye categorías especiales de datos personales:  origen étnico o racialopiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, tratamiento de datos genéticosdatos biométricos, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

 

Análisis de riesgos3. Realizar un Análisis de Riesgos

 

Es necesario realizar un análisis previo de todos los escenarios en los que existen riesgos derivados del tratamiento de datos. Esto quiere decir que es necesario establecer medidas de control de seguridad como prevención.

¿Quién deber realizar el Análisis de riesgos? El delegado de Protección de Datos en coordinación con todos aquellos que estén involucrados con el tratamiento de datos.

¿En qué consiste el análisis? Podemos resumir este análisis en 5 pasos:

  • ¿Se recaban datos de carácter personal?
  • ¿Estos datos se comunican a terceros?
  • ¿Se usa tecnología invasiva para la privacidad en el tratamiento?
  • ¿Se tratan datos considerados especialmente protegidos?
  • ¿Los datos que han sido recabados se van a utilizar de forma masiva para acciones de marketing?

 

4. Revisar las Medidas de Seguridad

 

Existen 3 niveles de seguridad exigibles al tratamiento de datos personales: básico, medio o alto. Estos 3 niveles determinan la naturaleza de la información de las que caben destacar 3 premisas fundamentales:

  • El responsable deberá garantizar la seguridad y evitar su alteración, perdida o tratamiento no autorizado.
  • No registrar datos de carácter personal que no reúnan las condiciones de seguridad e integridad.
  • Establecer los requisitos y condiciones que deben reunir los ficheros y las personas que intervengan en el tratamiento de los datos.

 

notificación de quebrantamiento de seguridad5. Establecer el Procedimiento de Notificación de brechas de Seguridad

 

Lo primero que debes saber es ¿qué se consideran brechas de Seguridad? Cualquier incidente que origine la destrucción, pérdida o modificación accidental o ilícita de datos personales. Por ejemplo, la pérdida de un portátil, el acceso no autorizado a las bases de datos, borrado accidental de datos…

El procedimiento es muy sencillo:

Registrar la incidencia > Averiguar si supone un riesgo para los afectados > Notificar a la autoridad de control > Informar a las personas afectas

  • Registrar la incidencia: es necesario registrar el lugar, fecha y sistemas que se han visto afectados
  • Averiguar si supone un riesgo para los afectados: si puede provocar daños
  • Notificar a la autoridad de control: en España es la AEPD (Agencia Española de Protección de Datos)
  • Informar a las personas afectadas: la norma exige informar a los afectados

 

evaluación de impacto en la protección de datos6. Evaluación de Impacto en Protección de Datos

 

Este proceso consiste en analizar las medidas preventivas que permitan identificar, evaluar y tratar los riesgos asociados al
tratamiento de datos personales. 

¿Qué incluye la evaluación de impacto en Protección de Datos?

  • Descripción de la actividad de tratamiento
  • Evaluación de la necesidad y proporcionalidad del tratamiento respecto a su finalidad
  • Evaluación de los riesgos
  • Medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad
  • Mecanismos que garanticen la protección de datos personales

 

Comparte en tus redes sociales
Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Deja un comentario