Para poder saber cómo afecta la normativa en protección de datos a las empresas hay que:
- Determinar si los tratamientos son de alto o de bajo riesgo para los derechos y libertadas de las personas.
- Determinar el Registro de Actividades.
- Responsabilidad no sólo activa, también proactiva.
- Análisis de riesgos y en algunos casos evaluación de impacto.
- Protección de datos desde el diseño y por defecto.
- Notificación de brechas de seguridad.
A continuación, vamos a explicar cada una de ellas:
- Determinar si los tratamientos son de alto o de bajo riesgo para los derechos y libertades de las personas.
– Son de bajo riesgo:
* los datos personales de contacto de clientes o proveedores.
* los datos básicos de recursos humanos.
– Son de alto riesgo:
* los tratamientos masivos como por ejemplo los datos de empresas de servicios de telecomunicaciones, entidades bancarias y financieras, generación y uso de perfiles o publicidad.
* los datos de categorías especiales como los que realizan las empresas del sector sanitario o legal; de seguros; de servicios sociales; de actividades políticas, sindicales o religiosas; de solvencia patrimonial y crédito; videovigilancia en centros comerciales o en estaciones de ferrocarril.
2. Determinar el Registro de Actividades, anteriormente, era necesario que las empresas inscribieran el fichero en la AEPD ya que era una forma de notificar que realizaban un tratamiento de datos con una descripción del mismo, actualmente ya no es necesario inscribir ese fichero, ahora el responsable del tratamiento y el encargado deben llevar sendos Registros de actividades de tratamiento que se realicen bajo su responsabilidad. Este registro contendrá en caso del responsable:
– Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos cuando corresponda.
– Finalidades o motivos del tratamiento.
– Descripción de categorías de interesados y datos personales tratados.
– Categorías de los destinatarios a quienes se comunican los datos personales, incluso si están en otros países o son organizaciones internacionales.
– Transferencias de datos a otro país u organización.
– Cuando sea posible, el plazo previsto para eliminar los datos.
– Cuando sea posible, una descripción de las medidas de seguridad utilizadas durante el tratamiento.
3. Responsabilidad no sólo activa, también proactiva ya que el RGPD se basa en los mismos principios que la legislación anterior, pero se diferencia de la misma en que se desarrolla además en torno a la responsabilidad proactiva y el enfoque de riesgo.
La responsabilidad proactiva implica que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento. En la práctica supone analizar los datos, las finalidades y las operaciones de los tratamientos, para determinar de forma explícita la aplicación de las medidas que el RGPD prevé, para proteger la privacidad y poder demostrarlo.
Para aplicar las medidas de responsabilidad proactiva se ha de utilizar un enfoque de riesgos teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertadas de las personas. En la práctica esto supone que algunas medidas (por ejemplo, evaluación de impacto o el nombramiento del DPD) se aplicarán sólo cuando exista un alto riesgo y el resto por ejemplo, la privacidad desde el diseño) serán adaptadas al nivel y tipo de riesgo que los tratamientos presenten.
4. Análisis de riesgos y en algunos casos evaluación de impacto.
Para saber si la empresa está obligada a llevar un registro de operaciones de tratamiento o a nombrar un Delegado de Protección de Datos y a realizar una evaluación de impacto, es necesario que el responsable haga una valoración continua de los riesgos que entrañan los tratamientos a los derechos y libertadas de los usuarios. Este análisis también servirá para establecer el resto de medidas de responsabilidad proactiva.
La evaluación de riesgos dará como resultado la adopción de las medidas necesarias para eliminar o mitigar los riesgos que el producto o servicio pueda entrañar para la protección de datos de las personas. La evaluación de impacto permitirá aplicar la privacidad desde el diseño, evitando costes de mitigación de riesgos a posteriori.
5. Protección de datos desde el diseño y por defecto.
Protección y explotación de datos personales son para la empresa dos caras de una misma moneda. Por esto, la nueva legislación europea exige una mayor proactividad a las empresas y las insta a que valoren sus riesgos e incorporen mecanismos para minimizarlos, garantizando entre otros la privacidad desde el diseño y por defecto desde la concepción de sus productos o servicios. Este tipo de medidas pueden ser controles técnicos o políticas proactivas que se aplican desde el principio, pensando en todo el ciclo de vida del proyecto y centrados en garantizar la privacidad del usuario. Si tu empresa es de las que tiene que hacer una evaluación de impacto, con él tendrás identificados los riesgos del tratamiento con lo que podrás adoptar medidas en su fase de diseño.
6. Notificación de brechas de seguridad.
La nueva normativa obliga a notificar las violaciones de datos que podamos sufrir en la empresa a la autoridad de protección de datos competente y a las personas afectadas, salvo que sea improbable que suponga un riesgo para los derechos y libertadas de los afectados, por ejemplo, la empresa estaría exenta si los datos de los afectados estaban cifrados.
La notificación a la autoridad debe incluir como mínimo:
– La naturaleza de la violación, y cuando sea posible las categorías y número de afectados aproximados.
– El nombre y los datos de contacto del DPD o de otro punto donde obtener más información.
– Las consecuencias posibles de la violación.
– Las medidas adoptadas o propuestas para remediar los efectos negativos.
