Adaptación al Reglamento de Protección de Datos

Arquitectos

Carolina San Miguel Mas

carolina@cuatronoventa.com

Mov 686035791

www.cuatronoventa.com

Reglamento General de Protección de Datos (RGPD), normativa aplicable el 25 de mayo de 2018.

El Reglamento Europeo de Protección de Datos se enmarca dentro de la legislaciónpara la protección y control de nuestros datos personales, un derecho fundamentalque poseen todas las personas. Así, se evita que nuestros datos personales seanusados para vulnerar nuestra intimidad y otros derechos fundamentales ylibertades.

Cuestiones básicas del nuevo Reglamento

• Los ciudadanos vamos a estar mucho más protegidos. Hay nuevos derechos quenos amparan, entre ellos el famoso “derecho al olvido” que tan de moda está enlas redes sociales.

• Aumenta la transparencia de las empresas, gracias al deber de información.

• Aumenta la vigilancia sobre las empresas, ya que se exigirá un cumplimientoproactivo de la legislación.

• Crecen las obligaciones técnicas y jurídicas. Por un lado, se exigirá la realizaciónde un análisis de riesgos, y por otro lado se exigirá a las empresas que recabenel consentimiento expreso de los interesados a la hora de tratar sus datos decarácter personal.

• Se da libertad a la empresa para que, en base al resultado del análisis de riesgosanterior, proponga qué medidas de seguridad adicionales a las que ya tenga va aimplantar. En este sentido cabe destacar que desaparecen los niveles Básico,Medio y Alto, y es la propia empresa la que basará todo en su análisis de riesgos.

Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO teniendo en cuenta su finalidad y la base jurídica. (Antes Documento de Seguridad)

Registro de Actividades. con el nuevo Reglamento, el registro de las actividades detratamiento de los datos será obligatorio para personas y empresas. (AntiguoDocumento de Seguridad). Este registro debe estar por escrito y de maneraelectrónica y la empresa debe ponerlo a disposición de las autoridades cuandoestas lo soliciten.

Realizar un ANÁLISIS DE RIESGOS

• Agencia Española de Protección de Datos. FACILITA

• https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/index-ides-idphp.php

• En el caso de los economistas no es posible mediante FACILITA. El uso de esteprograma no garantiza el pleno cumplimiento del RGPD.

Análisis de Riesgos

¿Se van a tratar datos personales?

Toda información sobre una persona física identificada o identificable («el interesado»); seconsiderará persona física identificable toda persona cuya identidad pueda determinarse,directa o indirectamente, en particular mediante un identificador, como por ejemplo:

• un nombre

• un número de identificación

• datos de localización

• un identificador en línea

• uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica,económica, cultural o social de dicha persona

En el caso de que como mínimo una de las cuestiones sea afirmativa… se ha de seguir conel Análisis de Riesgos.

Nuevos avisos.

El nuevo Reglamento obliga a incluir nuevas advertencias que hasta ahora no lo eran.

Por ejemplo: la base legal para el tratamiento de los datos o los períodos de retención deestos.

Además, quedará especificada la necesidad de informar de manera fácil y clara a todos losusuarios.

Importante informar de los plazos para la conservación de los datos personales. Se deberáinformar del plazo de tiempo previsto para la conservación de los datos personales objetodel tratamiento. Si esto no fuera posible, deberá indicarse qué criterios se seguirán parajustificar la conservación (validez de una oferta, obligación legal, etc)

Solo lo necesario.

Con el Reglamento en funcionamiento, quedará completamente prohibido recoger másdatos de los estrictamente necesarios. Además, se exigirá también un consentimiento libre,informado e inequívoco de la persona que cede sus datos. Invalidando así el acuerdo tácitoque existía hasta ahora ante el silencio o la inacción.

Verificación periódica.

No se exigen Auditorías pero sí una verificación periódica del modelo. Es decir, sin tener lanecesidad de hacer una auditoría formal cada dos años como nos exige actualmente la Ley,sí que deja claro que el sistema de protección de datos hay que revisarlo.

Además, con el aumento tan significativo de las multas, pocas organizaciones searriesgarán a no tenerlo lo más actualizado posible, ya sea a través de auditorías formales ode revisiones documentadas.

Deber de información

Se deberá informar sobre quién o quienes van a recibir los datos personales objeto deltratamiento de datos. Tendrá que incluirse la información necesaria para identificar a losdestinatarios aún en el caso de tratarse de hosting, plataformas de email-marketing yotros servicios similares.

Por ejemplo: gestorías, mutuas, informático, despachos de abogados…

Dependiendo del resultado del Análisis de Riesgos habrá que realizar o no una Evaluación.

La Evaluación de Impacto en la Protección de Datos Personales (en adelante, la EIPD) esuna herramienta que permite evaluar de manera anticipada cuáles son los potencialesriesgos a los que están expuestos los datos personales en función de las actividades detratamiento que se llevan a cabo con los mismos. El análisis de riesgos para undeterminado tratamiento permite identificar los riesgos que se ciernen sobre los datos delos interesados y establecer una respuesta adoptando las salvaguardas necesarias parareducirlos hasta un nivel de riesgo aceptable.

Artículo 35 del RGPD Establece que ante la probabilidad de que un tratamiento“entrañe un alto riesgo para los derechos y libertades de las personas físicas” seránecesario llevar a cabo una EIPD antes de la puesta en marcha del tratamiento.

Esta obligación está alineada con el principio de privacidad que tiene como objetivoanalizar un tratamiento desde su fase de diseño y garantizar una adecuada gestión delos riesgos, además de cumplir con los principios de necesidad y proporcionalidad

Existen diversos tipos de medidas de control, por ejemplo:

• Organizativas: Medidas asociadas a procedimientos, a la organización y gobiernode la entidad. En esta tipología de medidas se pueden incluir los procedimientospara ejercer los derechos de los interesados, protocolos para gestionarvulnerabilidades e incidentes, etc.

• Legales: Medidas asociadas al cumplimiento normativo. Por ejemplo, cláusulaspara recogida de consentimientos expresos, etc.

• Técnicas: Medidas que permiten velar por la seguridad física y lógica de losactivos de información. Por ejemplo, controles de acceso, cifrado, etc.

Ejemplos de medidas de seguridad a revisar:

• Análisis de vulnerabilidades.

• Gestión de control de acceso de usuarios.

• Contraseñas únicas y de expiración regular en todos los dispositivos.

• Cortafuegos actualizados y configurados correctamente.

• Antivirus, antimalware y software anti-spyware en tiempo real. Con capacidadesAntiransomware.

• Actualización regular para prevenir brechas de seguridad. De Antivirus, S.O y Softwareutilizado.

• Cifrado de datos personales en tránsito (VPN, USB, portátiles, Moviles)

• Copias de Seguridad y Recuperación. Limpieza Segura.

• HW/SW. Herramientas DLP (Prevención de Fuga de Datos)

Cambios Reglamento Europeo respecto a la LOPD

Nuevos derechos además de los ARCO

El derecho al olvido, recogido ya por el Tribunal de Justicia de la Unión Europea en2014, defiende el derecho de las personas a que información obsoleta o norelevante por el transcurso del tiempo sea bloqueada, suprimida o desindexada.Ahora, solicitar que se supriman los datos personales dadas determinadascircunstancias será más fácil.

Con el derecho de portabilidad, las personas tendrán derecho a solicitar el envíode sus datos al responsable de tratar con ellos para transmitirlos a otroresponsable.

Roles y responsabilidades

Documento de roles y responsabilidades con elobjetivo de definir los cometidos de cada uno delos responsables de tratamiento, así como deterceros que puedan intervenir en eltratamiento de los datos de carácter personal.

Aparece la figura del Delegado de Protección de datos, obligatoria para empresas condatos de carácter sensible como clínicas, bufetes de abogados, escuelas infantiles oempresas de seguros.

¿Qué hace el DPD?

• Informar y asesorar al responsable o al encargado del tratamiento y a los empleadosque se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPDy de otras disposiciones de protección de datos de la Unión o de los Estados miembros

• Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otrasdisposiciones de protección de datos de la Unión o de los Estados miembros y de laspolíticas del responsable

Consentimiento expreso.

• Para recibir mails, tratar datos y cedes datos a terceros. Se ha de informar y confirmar.

• Antes valía el consentimiento tácito, ahora ya no.

• Y además por separado.

Los ficheros

Con el nuevo Reglamento no es obligatorio inscribir los ficheros enla AGPD.

Sí es obligatorio tener un Registro de Actividades y Gestión de datos.

También es obligatorio describir el Responsable del Tratamiento y elEncargado de Tratamiento.

Responsabilidad proactiva

Con la LOPD se determinaban medidas en función de la tipología de los datos, en cambioahora la adopción de las medidas es más proactiva.

Antes actuábamos cuando ocurría algo, ahora debemos de ser previsores y actuarpreviamente, antes de ocurra.

SANCIONES

Datos sensibles:

La multa por incumplimiento de la GDPR alcanza un máximo del 4% de los ingresosglobales o 20 millones de euros, lo que sea mayor.

Datos no sensibles:

La multa por incumplimiento de la GDPR alcanza un máximo del 2% de los ingresosglobales o 10 millones de euros, lo que sea mayor.

MENTIRAS SOBRE LA NUEVA NORMATIVA

El Reglamento Europeo elimina la LOPD, algo que es absolutamente incierto, yaque, un Reglamento Europeo no puede sustituir una Ley en nuestro ordenamientojurídico, la Ley Orgánica de Protección de datos de 1999 que está en vigor y seguiráestándolo el 25 de mayo, será sustituida cuando se apruebe, publique y hagaefectiva la nueva ley de protección de datos que está pendiente de aprobaciónentendemos que en los próximos meses y de la que solo conocemos unAnteproyecto de ley.

Si no registras los ficheros en la Agencia Europea puedes ser sancionado conmillones de euros

Primero no existe una Agencia Europea y segundo el Reglamento Europeo eliminala obligatoriedad de inscribir los ficheros en la Agencia Española de protección dedatos, por lo tanto, esa afirmación no solo no es cierta sino que es incongruente.

Tienes que tener un Delegado de protección de datos tal y como exige el nuevoReglamento Europeo de Protección de datos, en este caso esta nueva figura sí quees obligatoria en empresas con datos sensibles, pero no va la gran mayoría que notienen datos de carácter sensible.

Ahora cuando denuncies ante la Agencia Española de protección de datos a unempresa, entidad, … además de conseguir que le sancionen también tendrás unarecompensa económica

Tienes que hacer un curso de protección de datos que además es bonificable y coneso y un certificado ya estarás cumpliendo con el nuevo Reglamento

MUCHAS GRACIAS

Carolina San Miguel Mas

@carolinasmm

Mov 686035791

carolina@cuatronoventa.com

carolinasmm.wordpress.com

www.cuatronoventa.com