RGPD puntos clave para adaptarse a los nuevos reglamentos: Medidas de Responsabilidad Activa
La novedad del RGPD pasa por considerar más variables que la simple naturaleza de los datos y sus tratamientos así como un enfoque en la responsabilidad activa que por supuesto debe ser demostrable, en la determinación del riesgo para los derechos y libertades de los afectados y en la vigilancia y adopción de medidas para evitarlos.
El reglamento GRPD determina una serie de medidas como garantía de que los datos son tratados de acuerdo a sus requisitos y requiere que seamos capaces de acreditar que lo estamos haciendo.
Análisis de Riesgo
Ahondando en el enfoque preventivo del nuevo RGPD se requiere realizar un análisis preventivo de como afectaran a la protección de datos personales en el momento del diseño o cambio de un tratamiento de datos dentro de la organización.
Debemos garantizar:
Medidas obligatorias a aplicar de forma ponderada en función del nivel y tipo de riesgo
Protección de datos desde el diseño
Medidas de seguridad
Medidas a adoptar solo si el tratamiento supone un alto riesgo para los derechos y libertados como por ejemplo la realización de una Evaluación de impacto sobre la Protección de Datos.
Registro de actividades de tratamiento
El reglamento RGPD establece la obligación de mantener registros de las operaciones de tratamiento de datos. Esta tarea es responsabilidad de los encargados y responsables y debe incluir al menos la siguiente información:
1. Datos de contacto del responsable y del delegado de protección de datos
2. Finalidad del tratamiento
3. Tipos de interesados y de datos personales tratados
4. Datos sobre transferencias internacionales de datos
Exenciones: de esta obligación están exentas las pequeñas empresas (menos de 250 trabajadores) que no realicen tratamientos que entrañen riesgos para los derechos y libertades de los interesados ni manejen datos especialmente sensibles o relativos a condenas o infracciones penales.
Como punto de partida para los registros de tratamientos podemos utilizar
Los ficheros notificados a la AGPD añadiendo el detalle de las operaciones sobre cada conjunto de datos
Agrupando las actividades de acuerdo a su finalidad (Nominas, gestión de clientes etc.)
Protección de Datos desde el Diseño
Ahondando en el enfoque preventivo del nuevo RGPD se requiere realizar un análisis preventivo de como afectaran a la protección de datos personales en el momento del diseño o cambio de un tratamiento de datos dentro de la organización.
Debemos garantizar:
1. que se aplican los requisitos del RGPD desde el diseño de cualquier producto o servicio que requiera un nuevo tratamiento o finalidad.
2. Se deben aplicar además criterios sobre el diseño de nuevos tratamientos que eviten el tratamiento de datos innecesarios en cuanto a:
Cantidad y tipos de datos
Extensión del tratamiento
Periodos de conservación y accesibilidad a los datos
Medidas de seguridad
Como ya hemos anunciado en este punto hay una novedad respecto a la anterior legislación en cuando a:
Aplicar medidas de seguridad según el esquema actual de la LOPD dejara AUTOMATICAMENTE de ser válido desde la entrada en vigor del RGPD (Mayo 2018).
DESDE MAYO 2918 las medidas de seguridad deberán ser la consecuencia de un análisis de riesgos previo que determine las medidas de seguridad adecuadas: EL resultado del análisis de riesgos podrá recomendar las mismas medidas que antes, recomendar nuevas medidas o suprimir algunas innecesarias.
Los criterios para la selección y aplicación de medidas deberían tener en cuenta:
Los costes técnicos y de aplicabilidad
El tipo de tratamiento de datos, su finalidad y alcance
Los riesgos para los derechos y libertades
Notificación de violaciones de seguridad de los datos
El RGPD establece que:
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
Esta notificación debe
Realizarse sin retraso antes de 72 horas desde que se tenga constancia
Se debe mantener información documentada
Debe contener una información mínima
Índole y materia de la violación
Tipos de datos y de interesados afectados
Medidas adoptadas para solucionarla
Medidas paliativas de los perjuicios causados si procede
Se deberá informar también a los interesados si la violación es de alto riesgo para sus derechos y libertades para que puedan tomar medidas para protegerse de sus consecuencias
Evaluación de Impacto sobre la Protección de Datos
Ya hemos ido anunciando que es obligatorio realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD):
1. Cuando se prevea que hay riesgo para para los derechos y libertades de los interesados.
2. El EIPD tendrá un contenido mínimo establecido (Guía para realizar un EIPD ) IMPORTANTE
3. El EIPD se realizara incluso sobre tratamiento iniciados antes de la fecha de aplicación del RGPD cuando representen un alto riesgo para los derechos o libertades de los interesados.
4. CONSULTA OBLIGATORIA: si el resultado del EIPD sobre un tratamiento de datos resulta de alto nivel de riesgo y no es posible su mitigación o eliminación por el motivo que sea debe ser elevada unan consulta sobre este asunto a la AGPD
Aquí les dejamos una guía completa como ayuda para realizar el análisis de riesgos en la protección de datos personales.
Delegado de Protección de Datos
EL RGPD requiere del establecimiento de la figura de Delegado de Protección de Datos (DPD) cuando se trata de
Organismos públicos
Responsables que contemplen actividades de datos sobre
El Delegado de Protección de Datos (DPD) debe tener la cualificación necesaria en cuanto al conocimiento y la practica en la legislación de protección de datos
La novedad del RGPD pasa por considerar más variables que la simple naturaleza de los datos y sus tratamientos así como un enfoque en la responsabilidad activa que por supuesto debe ser demostrable, en la determinación del riesgo para los derechos y libertades de los afectados y en la vigilancia y adopción de medidas para evitarlos.
El reglamento GRPD determina una serie de medidas como garantía de que los datos son tratados de acuerdo a sus requisitos y requiere que seamos capaces de acreditar que lo estamos haciendo
1 Análisis de Riesgo
El primer paso para determinar qué medidas deben adoptarse es la realización de un Análisis sobre los Riesgos que los tratamientos de datos que estamos haciendo o hemos planificado puedan significar para los derechos y libertades de los interesados.
En este sentido se establecen:
Medidas obligatorias a aplicar de forma ponderada en función del nivel y tipo de riesgo
Protección de datos desde el diseño
Medidas de seguridad
Medidas a adoptar solo si el tratamiento supone un alto riesgo para los derechos y libertados como por ejemplo la realización de una Evaluación de impacto sobre la Protección de Datos.
OBLIGACION
Realizar una evaluación o valoración del riesgo de los tratamientos de datos que realizamos
Mientras las grandes empresas deberán adoptar un método reconocido para realizar esta tarea, las pequeñas empresas que realicen tratamientos de poca complejidad podrán simplemente documentar la evaluación de riesgos con su propia metodología.
EL análisis de riesgos derivara en medidas especiales en base al nivel de riesgo y del impacto que los mismos pueden causar en los derechos y libertades de los interesados
¿Cuándo estamos obligados a adoptar dichas medidas?
1. Cuando se tratan datos sensibles
2. Cuando los datos afectan a una gran cantidad de personas
3. Cuando se elaboran perfiles
4. Cuando se cruzan los datos obtenidos con otras fuentes
5. Cuando la finalidad con la que se han obtenido puede cambiarse
6. Cuando se tratan gran cantidad de datos (Análisis masivo)
7. Cuando se utilizan tecnologías especialmente invasivas (Video vigilancia, geolocalización, Internet de las cosas etc.)
2 Registro de actividades de tratamiento
El reglamento RGPD establece la obligación de mantener registros de las operaciones de tratamiento de datos. Esta tarea es responsabilidad de los encargados y responsables y debe incluir al menos la siguiente información:
1. Datos de contacto del responsable y del delegado de protección de datos
2. Finalidad del tratamiento
3. Tipos de interesados y de datos personales tratados
4. Datos sobre transferencias internacionales de datos
Exenciones: de esta obligación están exentas las pequeñas empresas (menos de 250 trabajadores) que no realicen tratamientos que entrañen riesgos para los derechos y libertades de los interesados ni manejen datos especialmente sensibles o relativos a condenas o infracciones penales
Como punto de partida para los registros de tratamientos podemos utilizar
Los ficheros notificados a la AGPD añadiendo el detalle de las operaciones sobre cada conjunto de datos
Agrupando las actividades de acuerdo a su finalidad (Nominas, gestión de clientes etc.)
3 Protección de Datos desde el Diseño
Ahondando en el enfoque preventivo del nuevo RGPD se requiere realizar un análisis preventivo de como afectaran a la protección de datos personales en el momento del diseño o cambio de un tratamiento de datos dentro de la organización.
Debemos garantizar:
1 que se aplican los requisitos del RGPD desde el diseño de cualquier producto o servicio que requiera un nuevo tratamiento o finalidad
2 Se deben aplicar además criterios sobre el diseño de nuevos tratamientos que eviten el tratamiento de datos innecesarios en cuanto a:
Cantidad y tipos de datos
Extensión del tratamiento
Periodos de conservación y accesibilidad a los datos
4 Medidas de seguridad
Como ya hemos anunciado en este punto hay una novedad respecto a la anterior legislación en cuando a
NOVEDAD RGPD
Las medidas de seguridad han de establecerse en base a los riesgos detectados y no solamente según el tipo o naturaleza de los datos.
VALIDEZ
Aplicar medidas de seguridadsegún el esquema actual de la LOPD dejara AUTOMATICAMENTE de ser válido desde la entrada en vigor del RGPD (Mayo 2018).
DESDE MAYO 2918 las medidas de seguridad deberán ser la consecuencia de un análisis de riesgos previo que determine las medidas de seguridad adecuadas: EL resultado del análisis de riesgos podrá recomendar las mismas medidas que antes, recomendar nuevas medidas o suprimir algunas innecesarias.
CRITERIOS
Los criterios para la selección y aplicación de medidas deberían tener en cuenta:
Los costes técnicos y de aplicabilidad
El tipo de tratamiento de datos, su finalidad y alcance
Los riesgos para los derechos y libertades
5 Notificación de “violaciones de seguridad de los datos
El RGPD establece que:
Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
Esta notificación debe
Realizarse sin retraso antes de 72 horas desde que se tenga constancia
Se debe mantener información documentada
Debe contener una información mínima
Índole y materia de la violación
Tipos de datos y de interesados afectados
Medidas adoptadas para solucionarla
Medidas paliativas de los perjuicios causados si procede
Se deberá informar también a los interesados si la violación es de alto riesgo para sus derechos y libertades para que puedan tomar medidas para protegerse de sus consecuencias
Además de la existencia de formularios estandarizados a nivel europeo podemos utilizar la sede electrónica de la AGPD para realizare las notificaciones en el siguiente enlace:
6 Evaluación de Impacto sobre la Protección de Datos
Ya hemos ido anunciando que es obligatorio realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD):
1. Cuando se prevea que hay riesgo para para los derechos y libertades de los interesados.
2. El EIPD tendrá un contenido mínimo establecido (Guía para realizar un EIPD ) IMPORTANTE
3. El EIPD se realizara incluso sobre tratamiento iniciados antes de la fecha de aplicación del RGPD cuando representen un alto riesgo para los derechos o libertades de los interesados,
4. CONSULTA OBLIGATORIA: si el resultado del EIPD sobre un tratamiento de datos resulta de alto nivel de riesgo y no es posible su mitigación o eliminación por el motivo que sea debe ser elevada unan consulta sobre este asunto a la AGPD
Aquí les dejamos una guía completa como ayuda para realizar el análisis de riesgos en la protección de datos personales
EL RGPD requiere del establecimiento de la figura de Delegado de Protección de Datos (DPD) cuando se trata de
Organismos públicos
Responsables que contemplen actividades de datos sobre
Interesados a gran escala y/o
Datos sensibles a gran escala
CUALIFICACION
El Delegado de Protección de Datos (DPD) debe tener la cualificación necesaria en cuanto al conocimiento y la practica en la legislación de protección de datos
NOMBRAMIENTO
Los datos de contacto del DPD deben comunicarse a las autoridades de protección de datos y hacerse públicos
REQUISITOS
Autonomía e independencia en el ejercicio de funciones
Relación directa con la alta dirección de la organización
Debe tener la asignación de recursos adecuado para realizar sus actividades