En el mes de abril de 2016 se publicó el Reglamento general de protección de datos (UE 2016/679)- en adelante “Reglamento”- y su aplicación efectiva será el 25 de mayo de 2018. Esta norma de aplicabilidad directa (no requiere de una adaptación a la legislación interna) contiene nuevas obligaciones para las empresas que tratan datos de carácter personal (tanto responsables como encargados de tratamiento por cuenta de ellos).
De un sistema de protección basado en el cumplimiento de formalidades (inscripción de ficheros, elaboración de documento de seguridad…) y medidas de seguridad tasadas en la normativa (LOPD y su reglamento de desarrollo) se pasa a otro sistema basado en el principio de responsabilidad proactiva. Este principio exige que los responsables deban adoptar una serie de medidas para garantizar que los tratamientos de los datos personales son conformes a las obligaciones establecidas en el Reglamento y, lo que es más importante, están en condiciones de demostrarlo. Estas medidas son:
1. Análisis de riesgos: Previo al tratamiento se ha de realizar una valoración del riesgo que los tratamientos pueden suponer para implementar las medidas oportunas para su mitigación o prevención. Debe plasmarse esta valoración documentalmente.
2. Registro de actividades de tratamiento: Tanto el Responsable como el Encargado del tratamiento, deben crear y mantener un registro de operaciones de tratamiento (con el contenido que se especifica en el Reglamento).
3. Protección de Datos desde el Diseño y por Defecto: los responsables deben tomar medidas organizativas y técnicas para integrar en los tratamientos garantías que permitan aplicar de forma efectiva los principios del Reglamento.
4. Medidas de seguridad: los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados atendiendo a diversas variables, no solo el tipo de dato objeto de tratamiento en el análisis previo.
5. Notificación de “violaciones” de seguridad de los datos: Si se produce una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
6. Evaluación de Impacto sobre la Protección de Datos: Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
7. Delegado de Protección de Datos: Será obligatorio tener la figura de una persona encargada de asesorar al responsable en todo lo relativo a la normativa sobre protección de datos.
En el nuevo esquema establecido por el Reglamento alcanza mayor relevancia la figura del encargado del tratamiento dado que se establecen varias obligaciones específicas que no dependen del contenido contractual de su relación con el responsable, como en el sistema actual. Estas obligaciones consisten en: mantener un registro de actividades de tratamiento, determinar las medidas de seguridad aplicables a los tratamientos que realizan y designar a un Delegado de Protección de Datos (DPO) en los casos previstos por el Reglamento. Estas modificaciones suponen que el responsable esté obligado a elegir encargados de tratamiento que le garanticen y estén en condiciones de demostrar que el tratamiento que realizarán de sus datos sea conforme al nuevo Reglamento.
Por tanto, a partir del mes de mayo de 2018 las empresas deberán ser especialmente cuidadosas en la elección de sus proveedores de servicios de outsourcing en ámbitos en los que dicho proveedor tenga acceso y trate datos de carácter personal. En este sentido, las empresas deberán chequear, dado que su responsabilidad está en juego, que su proveedor de servicios cumple con los requerimientos del nuevo Reglamento: existencia de un DPO, certificaciones externas de servicios e infraestructuras, experiencia y especialización en el ámbito de los servicios, etc…
Escrito por Sopra HR Software
