Protección de datos
La figura del análisis de Riesgos aparece como novedad con respecto a la anterior LOPD en el Reglamento General de Protección de Datos (RGPD). Dicha figura, que no se encuentra definida de un modo específico en ninguna parte, y para la cual sólo se dan una serie de nociones y acercamientos, supone un mecanismo esencial para prevenir y solventar posibles amenazas y riesgos que se pudieran generar en nuestro tratamiento de los datos, y se considera de obligada realización para todas las empresas afectadas por la citada RGPD.
Como podemos ver en la guía oficial para la elaboración del análisis de riesgos, aunque existen una serie de prescripciones y premisas, no se especifica mucho más, dejando a la interpretación y criterio de los obligados la definición del proceso completo, del cual sólo indican sus partes (Identificación de las amenazas, evaluación de los riesgos y tratamiento de los mismos).
Desde FERSOFT hemos integrado en nuestro programa SEGURPLUS una nueva función que permite la realización de dicho análisis, así como la elaboración de informes de cálculo del riesgo que reflejarán la situación actual de nuestra empresa, enumerando los riesgos y amenazas que pueden afectar a nuestro negocio, tratando de ofrecer soluciones orgánicas a nuestros usuarios que se adapten al caso concreto de cada uno, a través de una serie de recomendaciones específicas.
Previo a la realización del Análisis de riesgos en SEGURPLUS, será necesario definir qué activos conforman la estructura de nuestra empresa, entendiendo por activos las partes del negocio que se ven afectadas de algún modo por el tratamiento de los datos. En concreto, en la lista de activos que se ha considerado para el Análisis de riesgos en SEGURPLUS, podemos encontrar elementos tales como el uso de servidores, la figura de un informático en plantilla, si se cuenta con página web o si se tienen usuarios externos, entre otros elementos que normalmente encontramos en cualquier negocio, de los cuales el usuario deberá seleccionar los que son representativos de su empresa, eliminando el resto, y generando así una imagen aproximada del paradigma de la misma.
Una vez definidos los activos que conforman nuestra empresa, el proceso continúa con un pequeño sondeo que estima el riesgo que generan cada uno de los activos, así como el que generan los usuarios y la manera en la que operan. Dicho proceso consta de una serie de cuestiones que se le presentan al usuario, ante las cuales ha de responder con la mayor sinceridad, intentando ceñirse al máximo a la realidad de su empresa. Al final, SEGURPLUS analiza las respuestas a dichas cuestiones, y genera dos informes. El primero de ellos es el Informe de cálculo de riesgo avanzado, en el que se definen de un modo pormenorizado el riesgo asociado a cada activo, la probabilidad de que ocurran las amenazas, y el grado de incidencia que tendría. Además del cálculo de riesgo avanzado, podemos encontrar el informe de riesgos de fácil comprensión para el responsable, en el que se indica el porcentaje de riesgo total, y se desglosa en el riesgo que afecta a los usuarios, los medios tecnológicos y los procedimientos, presentando una serie de recomendaciones a tener en cuenta a partir de la realización del análisis, las cuales el responsable intentará aplicar en su negocio.
Este procedimiento es tan sencillo, gracias a las ayudas que hemos elaborado, que bien puede ser hecho por el responsable de la empresa o podemos asistirle en su realización desde el departamento técnico.
Le recordamos que desde FERSOFT les ofrecemos, a clientes con mantenimiento, un servicio de asesoramiento ilimitado en cuanto al uso del programa, de cara a su configuración y optimización, así como un servicio de asistencia técnica que incluye además del equipo de técnicos las recomendaciones personalizadas ofrecidas por nuestro departamento jurídico.
Protección de datos
El Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) de la Unión Europea (artículo 37) y Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales, (artículo 34) recogen las entidades que están OBLIGADAS a contar con un Delegado de Protección de Datos (DPD), considerándose INFRACCION GRAVE “… el incumplimiento de la obligación de designar un Delegado de Protección de Datos en todas las cuestiones relativas a la protección de los datos personales …” (ARTICULO 73v).
Dicha infracción puede estar sancionada según el artículo 83. 4 del RGPD con multa de hasta 10 millones de Euros o de una cuantía equivalente al 2% como máximo del volumen total de negocio anual del ejercicio financiero anterior, optándose por la de mayor cuantía.
Artículo 34 Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales establece esta relación de entidades sujetas a la obligatoriedad de contar con DPD:
1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.
5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
El artículo 73 de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, en función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 considera grave y prescribirá a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, en algunos casos.
El apartado V considera infracción grave “el incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.
Según el artículo 83.4 del RGPD (UE) 2016/679 este incumplimiento podría establecer “multas administrativas de 10.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía”.
Artículo 37 del RGPD (UE) 2016/679, establece que:
1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
2. Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento.
3. Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
4. En casos distintos de los contemplados en el apartado 1, el responsable o el encargado del tratamiento o las asociaciones y otros organismos que representen a categorías de responsables o encargados podrán designar un delegado de protección de datos o deberán designarlo si así lo exige el Derecho de la Unión o de los Estados miembros. El delegado de protección de datos podrá actuar por cuenta de estas asociaciones y otros organismos que representen a responsables o encargados.
5. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.
6. El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.
7. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
Convenios
La Asociación de Transportistas de Canarias y Fersoft Informática han decidido suscribir un acuerdo de colaboración entre las partes con el fin de facilitar el acceso al cumplimiento de la normativa de protección de datos Reglamento General de Protección de Datos (UE) 2016/679 y Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales 3/2018 (LOPDGDD), a nivel europeo, a los asociados, estableciendo y diseñando los principios y reglas básicas bajo las cuales las partes pretenden llevar a cabo dicha colaboración.
La entrada del Nuevo Reglamento modifica algunos aspectos de la anterior Ley Orgánica de Protección de Datos y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.
Una de las medidas que cambia con el Nuevo Reglamento es la forma de tratar los datos ya que las empresas tienen que obtener el consentimiento de forma inequívoca y verificable, y no tácito como se venía haciendo anteriormente con la Ley Orgánica de Protección de Datos además, las empresas tienen la obligación de informar a las autoridades de control en un plazo de 72 horas en el caso de sufrir en algún momento una brecha de seguridad y, dependiendo de la gravedad, la empresa deberá también informar a los afectados, con el consiguiente perjuicio que esto puede ocasionar a la imagen de la empresa.
El incumplimiento de esta norma en materia de protección de datos, establece un marco de sanciones para aquellos casos en los que los sujetos obligados (empresas, autónomos o Administraciones Públicas) no cumplan con la normativa aplicable y las sanciones se podrán imponer tras un procedimiento de investigación, seguido por uno sancionador.
En caso de que la AEPD resuelva sancionar, según el artículo 83 del Reglamento General de Protección de Datos (UE) se podrían llegar a imponer multas administrativas de 10 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Y si, tras haber sido advertido, apercibido u ordenado por la AEPD para hacer algo, se continúa en el incumplimiento de las resoluciones de la autoridad de control, se podrán imponer multas administrativas de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Especialistas en Protección de Datos desde 1999, en Fersoft contamos con nuestra herramienta jurídico-tecnológica Segurplus que ayuda a las empresas en el cumplimiento del Nuevo RGPD.
Además de ayudarles con la implantación integral del cumplimiento a la normativa, le ofrecemos defensa jurídica por vía administrativa ante la AEPD, totalmente gratuita, así como un servicio de consultoría ilimitada. Le ofrecemos como ayuda al cumplimiento, la herramienta Segurplus, con la que la persona responsable podrá apoyarse para cumplir con las obligaciones definidas en la normativa. Todo ello asistido por un equipo de profesionales.
Desde Fersoft Informática recordamos que es una norma de aplicación directa en toda la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
La firma de este convenio refleja la confianza mutua existente entre ambas organizaciones y el deseo de colaborar juntas para ofrecer beneficios competitivos a todos sus asociados.
