¿Qué es y por qué es imprescindible en tu negocio la adaptación al RGPD?
Si estas siglas no te dan ninguna referencia a la seguridad de tus datos, este artículo es de tu interés ya que en la actualidad la protección de datos es algo de vital importancia para las empresas y negocios.
La protección de datos es un derecho fundamental para todos. Está reconocido como tal por la Unión Europea. Este reconocimiento tiene por objeto proteger la vida privada e intimidad de las personas físicas frente a violaciones que puedan derivarse de la recogida, almacenamiento y uso indiscriminado de sus datos personales.
Una vez ya entrado en vigor el Reglamento General de Protección de Datos (RGPD), desde el 25 de mayo de 2018, empresas, autónomos, organismos públicos, asociaciones y hasta comunidades de propietarios deben tratar los datos personales como indica el RGPD.
A su vez, en España, existe la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) de 8 de diciembre de 2018, con el fin de poder complementar algunos aspectos al RGPD. También hay que tenerla en cuenta para cumplir en materia de protección de datos.
Tabla de Contenido
Pero, ¿Qué supone la adaptación LOPD / RGPD?
Una adaptación al RGPD y LOPD implica revisar y cumplir una serie de obligaciones y requisitos para garantizar la protección de datos en las empresas; Estas obligaciones y requisitos están recogidos y establecidos en la LOPDGDD y en el Reglamento General de Protección de Datos (RGPD).
No es un secreto que algunas empresas, autónomos y profesionales aún tienen dudas sobre cómo deben de adaptarse a la normativa de protección de datos aplicable. A través de este artículo, queremos mostrar los aspectos fundamentales a tener en cuenta al realizar una adaptación LOPD / RGPD.
Conocer los datos personales y ¿Cómo serán tratados?
Al hacer una adaptación al RGPD, uno de los aspectos principales es identificar los datos personales se van a tratar, debido a que estos proporcionan la identificación directa o indirectamente de las personas, mediante esto se determinarán las medidas técnicas y organizativas en materia de seguridad para garantizar la protección de dichos datos.
Los datos personales los podemos identificar por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Datos de carácter especial
En las normativas de protección existe una categoría de datos sensibles o datos especialmente protegidos, que son aquellos cuyo conocimiento puede suponer mayor impacto en los derechos y libertades de las personas. Estos datos especiales son:
- Datos de origen racial o étnico
- Opiniones políticas
- Creencias religiosas o filosóficas
- Afiliación sindical
- Datos genéticos
- Datos biométricos cuyo objetivo sea identificar al individuo
- Datos relativos a la salud
- Datos relativos a la vida sexual y/o la orientación sexual
Estos datos requieren una mayor protección y cumplir con algunas obligaciones más a la hora de proceder a la adaptación al RGPD y la LOPD.
Obtener consentimiento expreso
Para realizar cualquier tipo de tratamiento de datos como: formularios de suscripción, comunicaciones comerciales, uso del curriculum vitae, entre otros; es necesario obtener el consentimiento expreso de los titulares de los datos.
El consentimiento expreso puede recogerse de manera digital o física, pero debe quedar documentado, para demostrar que se cuenta con él en caso de una inspección de la AEPD.
Una vez obtenido el consentimiento sólo podrá ser utilizado con el fin por el que fueron recopilados los datos en el momento de la solicitud, lo que significa que cada vez que pretenda utilizar estos datos para otros fines, debe volver a solicitar el consentimiento de las personas.
Comunicado de tratamiento de privacidad
Es fundamental informar a los titulares de los datos, como serán tratados sus datos personales, cuáles de ellos serán tratados, con qué finalidad, el lapso de tiempo y si ceden sus datos a terceros, de igual forma es importante identificar quién es el responsable del tratamiento, el encargado del tratamiento y el delegado de protección de datos (DPO).
Una de las formas de comunicar esta información es mediante un contrato de trabajo o un contrato de servicios, a través de una cláusula de protección de datos.
Aplicar medidas de seguridad
Al realizar una adaptación de LOPD y RGPD debemos garantizar la protección de datos personales, mediante el responsable y el encargado, tomando las medidas de seguridad técnicas y organizativas necesarias y adecuadas al nivel de riesgo que impliquen los tratamientos de datos personales.
Las medidas de seguridad deberán garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los datos e información personal recogida y almacenada por la empresa o el autónomo.
Realizar análisis de riesgos
Al hacer una adaptación en protección de datos, una de las obligaciones a realizar es el correspondiente análisis de riesgos.
Antes de proceder al tratamiento de los datos personales, el responsable del tratamiento, deberá realizar un análisis de los riesgos que dicho tratamiento puede suponer para los derechos y libertades de los interesados. Mediante este análisis se podrá determinar las medidas de seguridad de protección de datos más adecuadas para garantizar la confidencialidad de las partes implicadas.
Registro de actividades de tratamiento
Responsables y encargados del tratamiento están obligados a mantener un registro de las actividades de tratamiento, debido a que las empresas pueden procesar datos confidenciales, de manera sistemática o a gran escala. En este registro se deben detallar y documentar los flujos de datos personales de cualquier empresa o especialista. La información mínima que debe contener es:
- Datos de contacto del responsable del tratamiento
- Fines del tratamiento
- Descripción de categorías de interesados y datos
- Destinatarios existentes o previstos
- Transferencias internacionales de datos
- Medidas de seguridad
- Plazos de conservación
Contratos de encargo de tratamiento
Si los datos personales de los usuarios, clientes o empleados serán cedidos a terceros, es necesario realizar la firma de un contrato encargado de tratamiento con estos terceros que estipule los servicios prestados, las medidas de seguridad, las transferencias internacionales de datos, los derechos de los usuarios otorgados que debe respetar el encargado.
Designación de un DPO
La designación de un DPO en una empresa dependerá de:
- Si las actividades principales de la empresa son operaciones que requieren la observación habitual y sistemática de datos personales o se tratan datos personales a gran escala.
- Las actividades principales requieren el tratamiento de datos especialmente protegidos.
DPO es un profesional en protección de datos y tiene funciones específicas en la empresa, incluido el cumplimiento y la adaptación a LOPD y RGPD, además de trabajar como un vínculo entre la organización y la AEPD.
El DPO puede ser un empleado interno o contratarse como servicio externo.
Notificación de brechas de seguridad
Si la empresa llegase a sufrir de brechas de seguridad que puedan poner en riesgo los datos personales de los interesados y que puedan, por ello, causarle alguna clase de perjuicio, debe ser reportado.
Este reporte deberá de ser comunicado en un lapso de 72 horas máximo ante la AEPD como a los propios interesados cuyos datos personales hayan sido vulnerados.
¿Necesitas un presupuesto?
En AgenciaRGPD estudiamos tu caso, realizamos la adaptación LOPD y RGPD de manera personalizada y te asesoramos de manera práctica y, sobre todo, comprensible.
Somos un equipo de profesionales consolidado con experiencia en tratamiento de datos y seguridad informática.
Nos encontramos en constante evolución estudiando las nuevas necesidades, requisitos e interpretaciones para ofrecer una respuesta acorde a las necesidades que marca la situación.
Apostamos por la seguridad y priorizamos en la protección de sus datos, si deseas olvidarte de problemas y evitar multas, comunícate con nosotros y ponte en contacto con un grupo de expertos que harán que cumplas las normativas para una adaptación LOPD y RGPD.