Doc. Ref. 14434 Título: Recomendaciones para adaptarse al nuevo Reglamento General de Protección de Datos Autor: Philippe Calvó Última actualización: 20/09/2017

---

documentos\Cliente-3223-HEXA-Cadenas de conexión a la BD-Doc.14434.htm

Recomendaciones para adaptarse al nuevo Reglamento General de Protección de Datos (GDPR)

La Agencia Española de Protección de Datos ha elaborado una serie de documentos de ayuda para la aplicación del nuevo Reglamento Europeo.

• Entró en vigor en mayo de 2016 y es aplicable a partir de mayo de 2018. Por lo tanto, a la fecha de este documento (noviembre 2017) conviene estar avanzado en su adaptación.
• El “principio de responsabilidad proactiva” hace que los responsables del tratamiento de datos personales deban aplicar las medidas técnicas y organizativas apropiadas para poder demostrar que se cumple con el reglamento ante los afectados y las autoridades.
• El “enfoque del riesgo” supone que las medidas deben aplicarse en función del nivel de riesgo que supone cada tratamiento de datos.

En la recogida de datos

• Hay que incluir la base legal sobre la que se desarrolla el tratamiento al proporcionar la información en el momento de recoger los datos de los interesados.
• Hay que incluir la finalidad con la que se recoge los datos personales y los tratamientos que se realicen
• El consentimiento debe ser inequívoco: con una clara acción afirmativa (no se acepta consentimieo tácito, por omisión que se basan en la inacción.)
• El consentimiento es implícito, cuando se entiende por la acción que realiza una persona, que da consentimiento. Por ejemplo al rellenar un formulario (si no quisiera dar sus datos, no lo rellenaría). Es explícito cuando firma expresamente un documento. En el caso de datos sensibles, decisiones automatizadas o transferencias internacionales, debe ser explícito.
• La información a los interesados, además de hacerse de modo expreso, preciso e inequívoco, ahora deberá ser “concisa, transparente, de fácil acceso y con un lenguaje claro y sencillo”. Se debe corregir aquellos casos en los que la información no está suficientemente clara para que las personas lo entiendan

Derechos de los afectados

• El acceso a los derechos debe ser muy sencillo y con la posibilidad de hacerlo de forma electrónica especialmente si se han recogido por estos medios. Hay muchos casos en los que actualmente el procedimiento es demasiado incómodo para el afectado.
• Si la solicitud de un derecho no se puede cumplir, hay que avisar en unos plazos concretos y ser capaz de demostrarlo.
• El afectado, en su derecho de acceso, puede solicitar una copia de sus datos (antes sólo era posible en el caso de historiales clínicos). Esto se puede cumplir dando un acceso remoto a un sistema seguro.

Obligaciones de los encargados

• Los encargados tienen obligaciones propias respecto al tratamiento de datos independientes del contrato que los une al responsable, como mantener un registro de actividades, determinar medidas de seguridad aplicables a los tratamientos que realizan o designar un Delegado de Protección de Datos si corresponde.
• Cada responsable, al elegir un encargado, debe asegurarse y poder demostrar que éste va a realizar el tratamiento de acuerdo a los requisitos del Reglamento.
• El contenido mínimo del contrato entre responsable y encargado se regula de forma minuciosa:
• Objeto, duración, naturaleza y la finalidad del tratamientos
• Tipo de datos personales y categorías de interesados
• Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable
• Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones
• Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados...

Por lo tanto conviene adaptar los contratos actuales. Hay modelos disponibles en el website de la Agencia

Medidas. Responsabilidad activa

• Las medidas tienen que ser coherentes con el riesgo. Por lo tanto, el responsable debe realizar y documentar una valoración de riesgo en función de la cantidad y tipo de tratamiento, naturaleza de los datos y volumen de interesados afectados. En grandes organizaciones se debe usar metodologías estándar. La Agencia realiza listas de comprobaciones a realizar para ayudar a estas evaluaciones.
• Se debe mantener un registro de operaciones de tratamiento con nombres de responsables, finalidades, datos tratados, transferencias, etc. Si la empresa tiene menos de 250 empleados y el riesgo es bajo, no hace falta. Se debe documentar el razonamiento que lleve a la decisión que se tome.
• Las medidas aplicadas no tienen por qué ser las mismas que las que marcaba hasta ahora el Reglamento. En función de su coste, contexto, finalidad del tratamiento y relación con los derechos y libertades de los afectados, se pueden completar con medidas adicionales o prescindir de alguna de ellas. Esta decisión de análisis de riesgo debe ser documentado y se debe poder demostrar.
• El nuevo reglamento define de forma más amplia las violaciones de seguridad de los datos y como deben ser tratados. Se debe documentar el riesgo de que ocurran y la forma en que está previsto tratar cada caso.
• Los responsables del tratamiento deben realizar una evaluación de impacto sobre la protección de datos (EIPD) de forma previa a tratamientos que pongan en riesgo los derechos y libertades de los afectados. La Agencia dispone de guías que ayuda a decidir si existe ese riesgo y el nivel de evaluación a realizar. Se debe documentar esta evaluación.
• En casos de organismos públicos y observación sistemática a gran escala de datos sensibles, se debe nombrar un Delegado de Protección de Datos (DPD). La Agencia dispone de documentación de ayuda sobre su necesidad, elección, nombramiento, requerimientos, funciones, etc.
• El Reglamento establece nuevos requerimientos relacionados con las transferencias internacionales de datos. Se debe documentar las medidas aplicadas en relación con ellas o el hecho de que no se van a producir.
• El Reglamento establece nuevos requerimientos relacionados el tratamiento de datos de menores. En el caso en que no se realice este tratamiento, es mejor documentar este hecho y las medidas que se toman para asegurar que no se produzca por error.

Algunos documentos interesantes:

• GDPR – A practical guide for developers
• GDPR and the End of the Internet’s Grand Bargain

Volver a la búsqueda anterior