RGPD y modelo de cumplimiento QLC

El Reglamento General de Protección de Datos (RGPD) implica a cualquier organización que opere en la Unión Europea y las que, aun no teniendo su domicilio físico en la Unión, utilicen datos de ciudadanos europeos. Sustituye a la LOPD que sólo tenía efecto en el territorio español.

Pretende hacer frente a un nuevo reto legal que plantea la captación, el tratamiento de datos de carácter personal por parte de empresas y nuevos operadores, de la nueva sociedad digital, garantizando la protección de los usuarios en materia de privacidad y seguridad de su información personal.

Comienza con la novedosa definición de lo que es un dato personal como “cualquier información que permita identificar de forma unívoca a un usuario, incluso de manera indirecta”.

Algunos ejemplos serian una IP, un código de usuario o una localización física temporal.

Además, la RGPD obliga a que el consentimiento sea explícito, con una base jurídica explicada de forma concisa y nunca sobreentendida por lo que, en la práctica, si no contamos con el consentimiento, este no existe.

El nuevo RGPD propone una metodología operativa de cumplimiento para las empresas, que incluye la necesidad de hacer un análisis de impacto y de riesgo, certificaciones, registros de tratamiento de la información, protocolos de comunicación a las autoridades en caso de violaciones de seguridad y, la obligación a que sean auditadas periódicamente.

Contempla, también, cuantiosas sanciones y multas en caso de infracción que pueden alcanzar los 20 millones de euros o el 4% de la facturación de una empresa, siendo siempre la mayor de las dos posibilidades.


¿Qué supone el RGPD para las empresas?

La implementación y adecuación de la normativa implica un plan de transformación y actuaciones en la estructura organizativa, los procesos internos, la gestión de los datos estructurados/ desestructurados, análisis de los canales donde se captan esos datos, y por supuesto, protocolos de seguridad y comunicación de los eventos de ruptura.


En definitiva, gestionar el cambio (testing y formación), proyectos específicos de consultoría (internos y/o externos) que permitan diseñar las políticas y los procesos necesarios (por ejemplo, aumenta los niveles de comunicación previa con los clientes/usuarios y sus permisos) para garantizar el cumplimiento, y un “roadmap” como guía hacia una implantación exitosa del nuevo RGPD.


En ese camino hacia la transformación digital, la RGPD hace posible que las empresas, mediante una correcta explotación de los datos, puedan obtener cuantos “insights” necesiten para conocer, e incluso, predecir las tendencias y patrones de comportamiento de sus clientes (a través de herramientas tecnológicas para enmascaramiento de datos, almacenamiento agregado, anonimización y la explotación de vectores de información) pero respetando la protección personal de los usuarios sin vulnerar la ley.


3 novedades del RGPD:


1.     Proactividad de la empresa o “medidas de responsabilidad proactiva” que son:

·         Análisis de riesgo.

·         Registro de actividades del tratamiento.

·         Protección de datos desde el diseño y por defecto.

·         Adopción de medidas de seguridad.

·         Notificaciones de “violaciones de seguridad de los datos”

·         Evaluaciones de impacto sobre la protección de datos.

·         Nombramiento del Delegado de Protección de Datos.


2.   Consentimiento expreso e “inequívoco”

·    Pedir los datos imprescindibles (mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos).

·         Puede ser para uno o varios fines.

·         Debe ser prestado de forma libre.

·         Revocable.

·         El responsable debe poder probar en todo momento que ha obtenido el consentimiento.

·         Utilizar un lenguaje claro y sencillo


3.     Los clientes o usuarios están legitimados a ejercer sus derechos ARCO+2 (derechos de acceso, rectificación, supresión o “derecho al olvido”, oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles). Estos derechos se ejercitarán ante el responsable del tratamiento

 

Nuestro trabajo, con todo el equipo de Qualitas Lex Consulting, consiste en la adaptación e implantación del Reglamento General de Protección de Datos (RGPD) en su empresa.

Analizamos tanto los procesos internos de trabajo, por actividad de tratamiento, como los diferentes documentos que se utilizan en la gestión diaria de la empresa, por área funcional, teniendo en cuenta que existen 2 dimensiones en los riesgos (modulados por probabilidad y gravedad) para los derechos y libertades de las personas físicas:

·  riesgos asociados a la protección de la información (enfocados en la integridad, disponibilidad y confidencialidad)

·   riesgos asociados al cumplimiento con la regulación relacionado con los derechos y libertades de los interesados.


Es muy importante señalar la necesidad de mantener documentados todos los procesos para poder acreditar la diligencia en el cumplimiento del RGPD y demostrar la proactividad en el cumplimiento normativo.

Para ello, se contemplan una serie de actuaciones expresadas en lo que denominamos “Modelo de Cumplimiento QLC”, desarrollado en 5 fases, cuyo objetivo final es asegurar la observación, adecuación, revisión, actualización y cumplimiento conforme a la nueva normativa vigente desde el pasado 25 de mayo de 2018.

Dentro de las actuaciones previstas, hacemos una mención especial a la sesión formativa que extenderemos a todo el equipo de la empresa y en sus instalaciones.


Finalmente, incluimos en nuestra propuesta la posibilidad opcional de un asesoramiento permanente y exclusivo con el fin de mantener actualizada a la empresa en el cumplimiento de la normativa, y la construcción de una Política de Protección de Datos Personales.