Reglamento General de Protección de Datos

Servicio personalizado de Adaptación al RGPD

LOPD

Desde el año 1999, la Ley Orgánica de Protección de Datos (LOPD) imponía una serie de obligaciones a las entidades que tratan datos de carácter personal, pero desde el 25 mayo del 2018 es de aplicación el Reglamento General de Protección de Datos (RGPD), que modifica de forma sustancial la normativa española.

La nueva Ley marca un antes y un después en la manera de gestionar la protección de los datos personales, regulando el acceso y el uso de la información obtenida, y aumentando duramente las sanciones contra quienes incumplan la normativa.

 

Con nuestro servicio de adaptación darás cumplimento a las medidas exigidas por el RGPD, entre otras, a las siguientes obligaciones:

Obtención del consentimiento para el tratamiento de datos

El RGPD mantiene los mismos principios del consentimiento que establecía la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. El silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del RGPD).

Deber de información

El Reglamento establece la obligación de informar sobre nuevos aspectos. Habrá que explicitar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a la Autoridad de Control, si consideran que sus datos están siendo tratados de forma ilícita. En lo que respecta al interesado cuyos datos se hayan obtenido de otra fuente, la información  deberá facilitarse en el plazo de máximo de un mes (en lugar de los tres meses indicados en la LOPD).

Derechos de los interesados

En el RGPD se incluyen, además de los derechos ya establecidos por la LOPD, los siguientes:

o Derecho a la transparencia de la información,
o Derecho de supresión (derecho al olvido),
o Derecho de limitación,
o Derecho de portabilidad.

Otra novedad, respecto de la LOPD, es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios (Considerando 59).

Evaluación de impacto del tratamiento de datos personales

Se establece la obligación de realizar una evaluación de impacto (Privacy Impact Assesment) para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas, en la que se evalúe el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo (Considerando 84 del RGPD).

Comunicación de fallos a la autoridad de protección de datos

Se trata de una nueva obligación del RGPD que impone al responsable del tratamiento la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.

Registro de tratamiento de datos

Según lo previsto en el artículo 30 del RGPD, las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.

Aplicación de medidas de seguridad

El RGPD ya no distingue entre ficheros de nivel básico, medio o alto, sino que especifica que las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. La nueva legislación habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse, a diferencia de lo que ocurre con el actual RLOPD que describe de manera detallada cada medida de seguridad que debe implementar el responsable del tratamiento.

Privacidad desde el diseño y por defecto, códigos de conducta y esquemas de certificación

Se avanza un paso más para reforzar el concepto de accountability empresarial, es decir, la responsabilidad proactiva en el cumplimiento normativo. Para ello, el RGPD establece la privacidad desde el diseño y por defecto, con el fin de que se garantice el cumplimiento con carácter previo al tratamiento de datos y durante dicho tratamiento. Asimismo, el RGPD propone como mecanismos efectivos de verificación del cumplimiento, la adhesión a códigos de conducta o a mecanismos de certificación (artículo 42.3 del RGPD).

 

Asimismo, se elaborarán para la empresa los siguientes documentos:

– Cláusulas de legales de información. Adaptar los procesos de recogida de datos a la normativa vigente, articulando el consentimiento y en cumplimiento del deber de información (Art. 5 LOPD y 18, 19 RDLOPD), redactando las cláusulas y avisos oportunos.

– Contratos de acceso a los datos titularidad del cliente por terceros. Es el caso, por ejemplo, las asesorías, empresas informáticas, etc.

– Contratos de prestación de servicios con acceso a datos de carácter personal. Adoptar las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que impliquen el tratamiento de datos personales.

– Compromisos de confidencialidad. Se recabarán todos los consentimientos necesarios para tratar los datos de carácter personal de los empleados y asegurar así la confidencialidad y el compromiso de los mismos.

– Análisis y puesta en conformidad de la pagina web, redes sociales o blogs.

 

Le proporcionamos los servicios necesarios para que su empresa cumpla con todos los requisitos del RGPD y de la Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales, evitando así posibles sanciones. Y una vez adecuada su empresa dispone de un servicio de mantenimiento y auditoría, para garantizar el correcto cumplimiento de las medidas técnicas y organizativas implantadas en su empresa.

 

  • Contacte con nosotros para solicitar un presupuesto o más información, sin ningún compromiso.