GDPR: prepara a tu empresa para el Reglamento de Protección de Datos

Escrito por: media el 26/04/18 9:00

GDPR_prepara_empresa_Reglamento_Protección_Datos (2)

El nuevo Reglamento Europeo de Protección de Datos (GDPR) supone un verdadero cambio de actitud en los responsables y encargados de los datos personales, que deberán tener una responsabilidad proactiva en el tratamiento y custodia de los mismos.

Sin embargo, implementar todas las medidas necesarias para cumplir con esta exigente normativa, y poder demostrarlo llegado el momento, no es una tarea rápida ni sencilla.

En este post te ofrecemos consejos y herramientas para facilitarte esta labor antes de que sea aplicable el próximo 25 de mayo.

Este post también está disponible en inglés.

    Índice

2. Medidas de seguridad

3. Auditoría de datos

4. Adapta tus canales de recopilación de datos al RGPD

5. Nuevos derechos para los ciudadanos

6. Informar de las brechas de seguridad

7. Revisar los avisos de privacidad

    Índice

2. Medidas de seguridad

3. Auditoría de datos

4. Adapta tus canales de recopilación de datos al RGPD

5. Nuevos derechos para los ciudadanos

6. Informar de las brechas de seguridad

7. Revisar los avisos de privacidad

 

GDPR: las empresas incumple hoy la nueva normativa de datos

A pesar de que el nuevo Reglamento se aprobó en abril de 2016 y los implicados han tenido este tiempo para adaptarse, el 90% de las empresas españolas incumple aún con esta nueva normativa de datos. Pero a nivel europeo, las cifras tampoco son mucho mejores. Un 80% de las empresas de la UE siguen sin adaptarse a sus exigencias.

Estos datos son el resultado de un estudio realizado por la consultora IDC y el gigante informático Microsoft. En él se asegura que las compañías invertirán 144 millones de euros para cumplir con los requisitos que se han marcado desde Bruselas.

Esta cifra no resulta desorbitada ya que son muchos e importantes los cambios que el Reglamento establece tanto para responsables como encargados que traten datos personales y la cuenta atrás llega a su fin.

 

¿Por dónde empezar para cumplir con el GDPR?

Los principios rectores de esta nueva reforma son la responsabilidad, la prevención y la transparencia. Teniendo esto siempre presente, los consejos básicos que te ofrecemos para cumplir con esta normativa serían:

1. Nombramiento de un Delegado de Protección de Datos

Para determinadas empresas el GDPR recoge la obligación de nombrar un Delegado de Protección de Datos (DPO). Esta figura será la encargada de asesorar, gestionar y controlar todo lo relativo a la normativa sobre protección de datos en la empresa, así como actuar de punto de conexión entre esta y la AEPD.

Cuando no se requiera su nombramiento nuestra recomendación sería nombrar a un responsable interno que forme al resto del equipo y contratar un servicio especializado jurídico-técnico para la resolución de consultas.

 

2. Medidas de seguridad

Asegúrate de desarrollar e implementar medidas de seguridad en toda tu infraestructura para estar cubierto frente a posibles violaciones en la seguridad de los datos. Un buen sistema preventivo reducirá al mínimo los posibles riesgos.

Por ejemplo, además de proteger las redes y la nube, asegura los equipos informáticos y los smartphones. Estos dispositivos son con los que se procesa y se crea la nueva información y por ello son los principales objetivos de los ciberdelincuente.

Asimismo, asegúrate de comprobar que tus proveedores son igual de responsables con sus sistemas y procedimientos, ya que la externalización de servicios no te eximirá de responsabilidades.


  Post relacionado > GDPR: ¿qué medidas de responsabilidad proactiva exige?


 

3. Auditoría de datos

Debes conocer exactamente qué datos personales tratas, cómo los recoges, cuál es su tránsito, almacenamiento y procesamiento. Además quién tiene acceso a ellos, incluyendo terceras empresas y colaboradores, y si existe algún riesgo de uso indebido o acceso no autorizado.

Una vez que tengas identificados estos parámetros debes eliminar la información innecesaria para respetar los principios de minimización de los datos, por el que solo se podrán recoger los datos personales que vayan a ser tratados y para la finalidad declarada (art. 5.1.c).

 

4. Adapta tus canales de recopilación de datos al RGPD

¿Cómo podrán los individuos dar su consentimiento legalmente? Esta es la siguiente pregunta que deberías poder responder. Cuando el RGPD entre en vigor, si basas la legalidad del tratamiento en el consentimiento, todos los individuos deberán otorgarlo de forma libre, informado, específico e inequívoco.

Para poder considerar que el consentimiento es inequívoco, el RGPD exige que el consentimiento se preste mediante una “clara acción afirmativa” que indique el acuerdo del interesado. Por tanto las empresas deberían revisar la forma en la que obtienen y registran el consentimiento para que sea posible verificarlo ante una auditoría.


   Más información > GDPR: ¿qué soluciones ofrecemos para obtener el consentimiento de        forma lícita?

5. Nuevos derechos para los ciudadanos

Otro aspecto que tendrías que tener previsto es cuál será el procedimiento que adoptes si una persona quiere que sus datos sean eliminados o transferidos. Y es que con el GDPR surgen estos dos nuevos derechos: derecho a la portabilidad de los datos y el llamado derecho al olvido.

A partir del 25 de mayo los interesados tienen derecho a solicitar la transmisión directa de sus datos personales a otros proveedores de servicios con los que el interesado tiene una relación. Además podrán impedir la difusión de sus datos personal a través de Internet cuando su publicación no cumple los requisitos.

 

6. Informar de las brechas de seguridad

El nuevo Reglamento obliga a comunicar a la autoridad competente de cada país, la AEPD en el caso de España, sobre cualquier violación de seguridad en los datos antes de las 72 horas desde su conocimiento. Por lo tanto es fundamental establecer un plan de comunicación en la empresa y que todos los profesionales lo conozcan en caso de que se produzca un fallo en el sistema de protección.


7. Revisar los avisos de privacidad

El Reglamento refuerza la información que debe proporcionarse a los interesados por lo que las empresas deberán revisar sus avisos de privacidad.

Por ejemplo, deberán incluir la base legal en la que legitiman el tratamiento de los datos, los períodos de retención de los mismos y cuáles son los mecanismo disponibles para ejercer los derechos de transmisión y olvido por ejemplo.

Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender por lo que debe presentarse con un lenguaje claro y conciso.
 

La AEPD publica un Listado de cumplimiento normativo para facilitar la adaptación al RGPD

La AEPD ha elaborado un Listado de cumplimiento normativo para ayudar al cumplimiento del nuevo Reglamento que complementa las guías de Análisis de Riesgos y Evaluación de Impacto y la hoja de ruta que ya publicó para el sector privado.

Esta herramienta es un método básico que permite identificar y verificar los requisitos establecidos por el nuevo Reglamento General de Protección de Datos (RGPD). Muestra los aspectos que son necesarios analizar para garantizar que los tratamientos de datos se están realizando conforme a la nueva normativa.

Se trata de una lista de verificación de 266 puntos divididos en 29 bloques como el registro de actividades, las medidas de seguridad o las transferencias internacionales. Todos los requerimientos básicos para el correcto cumplimiento del RGPD están contenidos en el listado por lo que su utilidad como guía es indudable.

Además, puede suponer una ayuda en las tareas de supervisión y asesoramiento que llevan a cabo los Delegados de Protección de Datos.
Signaturit_GDPR

Herramienta de ayuda RGPD

Para entidades que tratan datos de escaso riesgo, la Agencia ofrece la herramienta Facilita_RGPD. Se trata de un cuestionario online gratuito con el que empresas pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento.

 

Conclusión

Esperamos que cuando llegue la fecha de la aplicación efectiva del Reglamento la mayoría de las empresas puedan demostrar su cumplimento, tanto a sus propios clientes como a las autoridades de supervisión nacionales y europeas.

Para ello es importante que en esta recta final se inviertan todos los recursos para adaptar las medidas necesarias jurídicas, técnicas y organizativas en las empresas para el lícito tratamiento de los datos de usuarios y clientes

Si tienes dudas respecto cómo obtener el consentimiento de tus clientes para obtener y tratar sus datos, puedes descargarte la guía que encontrarás a continuación donde explicamos más en profundidad nuestras soluciones tecnológicas especialmente diseñadas para cumplir con este Reglamento. Si lo prefieres puedes ponerte en contacto con nosotros a través del email info@signaturit.com o llámanos al 93 551 14 80.

Este post también está disponible en inglés.


New Call-to-action

Etiquetas: GDPR

Subscríbete al blog

Últimos posts