LAS 15 CLAVES DEL NUEVO RGPD


1. Análisis de riesgos (risk assessment). Las organizaciones, las empresas, los profesionales y los autónomos en general, desde la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD) el día 25 de mayo de 2018, deben realizar análisis periódicos de los riesgos derivados del tratamiento de datos personales durante todos sus procesos y trámites.

2. Evaluaciones del impacto en privacidad (privacy impact assessments). Si los análisis arrojan un nivel alto de riesgo, se deben realizar auditorías o evaluaciones de impacto de todos los procesos en relación con las potenciales situaciones o escenarios en los que los datos personales pudiesen quedar comprometidos. Se trata de adoptar las medidas técnicas y de seguridad adecuadas para así tener bajo control y mitigados los riesgos detectados.

3. Registro de actividades de tratamiento (en formato electrónico). Las organizaciones con más de 250 trabajadores o que traten datos sensibles o que puedan generar riesgos cualificados para los interesados, deben llevar un registro de actividades de tratamiento y tenerlo a disposición de la Agencia Española de Protección de Datos (AEPD).

4. Ha desaparecido la obligación de inscribir los ficheros en el registro de la AEPD.

5. El principio de responsabilidad activa de los responsables y de los encargados (art. 24 RGPD). El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

6. Es obligada la formación al personal que intervenga en el tratamiento de datos de carácter personal.

7. Se deben cumplir con los principios relativos al tratamiento de datos personales (art. 5 RGPD):

  • Licitud, lealtad y transparencia en el tratamiento de los datos personales.

  • Limitación de la finalidad: los datos se recogen por unos fines determinados, explícitos y legítimos.

  • Minimización de datos: los datos deben ser adecuados, pertinentes y limitados.

  • Exactitud de los datos: los datos deben ser exactos y actualizados.

  • Limitación del plazo de conservación: no se puede superar el tiempo necesario para los fines del tratamiento de los datos personales.

8. Cuando los datos personales se consiguen de los propios interesados, el responsable del tratamiento debe recabar el consentimiento libre, específico, informado, explícito e inequívoco del propio interesado. El consentimiento tácito ya no es válido.

9. Las organizaciones y las empresas deben contar con protocolos que hagan efectivos los derechos reconocidos de los interesados como son: el derecho de acceso, de portabilidad (obliga al responsable a facilitar una copia completa de los datos en soporte electrónico y en formato compatible), de rectificación o supresión de los datos personales y de la limitación y oposición al tratamiento, inclusive el novedoso derecho al olvido.

10. En determinados casos es obligatorio el nombramiento de un Delegado de Protección de Datos Personales (data protection officer DPO) según establece el art. 37 RGPD. Esta persona que goza de plena libertad, autonomía e independencia en el ejercicio de su función, disponiendo de conocimientos suficientes en Derecho y práctica en materia de protección de datos, es quien asesora al responsable del tratamiento, coordina y evalúa los sistemas de cumplimiento de la norma y de evaluación de los riesgos de incumplimiento, y encauza las comunicaciones de la AEPD y los interesados con la empresa.

11. Las empresas como responsables deben demostrar que seleccionan, controlan y hacen seguimiento de sus proveedores, suministradores, subcontratistas, asesores y en general cualquier prestador de servicios, en materia de cumplimiento de protección de datos.

12. Los encargados del tratamiento por su parte deben soportar auditorías periódicas de los responsables.

13. Las relaciones entre responsables y encargados deben documentarse en un contrato que puede generarse en formato electrónico. Estos contratos deben tener un contenido mínimo para que se establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

14. Los fallos de seguridad, en particular los que tengan como consecuencia una fuga de datos, deben comunicarse a la AEPD en un plazo máximo de 72 horas y a los interesados. El diseño de un protocolo en este ámbito requiere que en caso de ciberataques que constituyan un ilícito penal, se denuncien bien a la Fiscalía, bien a las Fuerzas y Cuerpos de Seguridad del Estado y al  CERTSI, a fin de controlar y mitigar las consecuencias negativas del riesgo.

15. El uso de algoritmos predictivos basados en BIG DATA para crear perfiles personales, debe estar bajo constante supervisión para así evitar situaciones discriminatorias, controlar la intervención humana en partes del proceso, garantizar la transparencia y la audiencia del interesado. El uso de las técnicas de pseudonimización y anonimación en los tratamientos masivos debe igualmente regularse, ordenarse y controlarse.

 Para más info, pulse este link.



By Sergio Gayoso Merino
14.05.2018

Contacta con nosotros