8 claves para entender GDPR: entramos en la recta final

Quizá te interese... El ERP en cloud: ventajas para optimizar los negocios Nuevas tecnologías para el CPD Moderno  Acelera tu negocio con DevOps Protección de Datos: evolución y soluciones

La transición a GDPR supondrá un cambio radical en la concepción y el tratamiento de los datos y, desde InnoTec System, el área especializada en ciberseguridad del Grupo Entelgy, nos dan las 8 claves fundamentales para ayudar a las empresas a comprender la naturaleza de los cambios, para entenderlos mejor y poder aplicarlos de manera más sencilla:

1. El deber de información y el encargo de tratamiento: dos de los cambios fundamentales son las cláusulas del deber de información y los contratos de acceso a datos por terceros. Los responsables podrán certificarse dentro de los esquemas previstos por el RGPD para demostrar que pueden ofrecer las garantías que exige el reglamento.

- Las cláusulas: los puntos a informar en las cláusulas se han ampliado, ahora incluyen: base jurídica de tratamiento, datos del delegado de protección de datos (si lo hubiese), intención de realizar transferencias internacionales y elaboración de perfiles. Junto a ellos, se mantienen la identificación del responsable y los aspectos relacionados con los derechos de los titulares. 
- Encargo de tratamiento: en esta parte, el contenido de los contratos se amplía incluyendo: el encargado de atender las solicitudes de los derechos de los titulares, la firma de los compromisos de confidencialidad por el personal del encargado y un deber de colaboración del encargado de tratamiento con el responsable, de manera más extensa que lo establecido hasta ahora en la LOPD.

2. Responsabilidad proactiva, privacidad desde el diseño y por defecto: hace referencia al deber del responsable y encargado de tratamiento de los datos de demostrar que la empresa cumple con lo establecido en el reglamento, es decir, la obligación de prevenir daños por parte de todas las organizaciones que traten datos de carácter personal.

 

Por su parte, la privacidad hay que medirla desde dos puntos de vista:

- Privacidad desde el diseño: busca garantizar que todo sistema de tratamiento de datos ha de adecuarse a la normativa desde las primeras etapas de un proyecto y tenerla en cuenta en durante todo el desarrollo de dicho proyecto.
- Privacidad por defecto: significa que los sistemas de tratamiento deben configurarse de la forma más restrictiva posible para respetar la intimidad de las personas, siendo ellas las que decidan qué aspectos de su información quieren hacer públicos.

3. Inscripción en los ficheros y registro de actividades: GDPR sustituye la obligación de inscribir los ficheros en la Agencia Española de Protección de Datos por la de disponer de un registro de actividades. Con la implementación del nuevo reglamento, cada empresa responsable tendrá que describir con detalle qué datos recoge, con qué fin los trata, a quién los comunica, si los transfiere a terceros países, cómo preserva su seguridad y cuándo podrá suprimirlos.

4. Nuevos derechos de los titulares: se mantienen los derechos conocidos como ARCO (acceso, rectificación, cancelación y oposición) y se añaden nuevos: limitación de tratamiento, portabilidad y el derecho de al olvido.  Además, también se han modificado los plazos: con la LOPD el plazo de atención del derecho de acceso era de un mes y para el resto de 10 días y con GDPR se unifica el plazo de atención a 1 mes para todos los derechos.

5. Actual base legal de los tratamientos. Ahora encontramos un mayor ímpetu en la base legal de los tratamientos. La LOPD recogía el consentimiento como base legal principal; el resto de casos eran excepciones. Sin embargo, en el reglamento no hay excepciones: ahora son bases legales claramente diferenciadas el consentimiento, la relación contractual, los intereses vitales del interesado o terceras personas, la obligación legal para el responsable, el interés público o el ejercicio de poderes públicos, entre otros.

6. Análisis de riesgos y medidas de seguridad: la normativa basa la aplicación de las medidas de seguridad en el riesgo a la hora de tratar la información, en lugar de hacerlo únicamente clasificando dicha información y su valor/riesgo en básico, medio o alto, como se hacía anteriormente. Para analizar este riesgo ahora es necesario tener en cuenta la naturaleza de los datos, el número de afectados y la cantidad y variedad de tratamientos de la información que realice una misma organización. Además, la Agencia ha publicado dos guías: Guía de análisis de Riesgo y Guía de Evaluación de Impacto en la Protección de Datos, que pueden ayudar a las empresas a definir estos riesgos.

7. Nueva figura del Delegado de Protección de Datos (DPD): hace referencia a una nueva figura especializada en derecho de protección de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Esta nueva figura tiene unas funciones delimitadas como son garantizar el cumplimiento del reglamento y ser el asesor del responsable del tratamiento de datos a tal efecto.

8. Nuevas sanciones por incumplimiento: el primero y más llamativo de los cambios es el sustancial incremento del importe de las multas con el fin de evitar las llamadas “infracciones rentables”. El artículo 83 del RPGD plantea la posibilidad de cifrar las multas administrativas con cuantías de entre 10 y 20 millones de euros. Si hace referencia a una empresa, la multa podría ascender al 2 o 4 por ciento del volumen de negocio total (en base al anual global del ejercicio financiero anterior). La obligación de indemnizar que impone el RGPD afectará a todos los responsables que hayan intervenido en el tratamiento.