Siete ejemplos para saber cómo actuar con el nuevo RGPD

Redacción4 abril 20188min

A partir del 25 de mayo de 2018, tras dos años de margen, el reglamento general de protección de datos (RGPD) será de obligado cumplimiento. Es de carácter europeo y viene a sustituir a la anterior ley orgánica de protección de datos (LOPD). Ante un cambio de estas magnitudes, se generan muchas dudas. Por eso, Willis Towers Watson presenta siete ejemplos prácticos con los cambios más importantes a tener en cuenta.
 
1. ¿Está mi empresa obligada a cumplir el Reglamento General de Protección de Datos?

Si tu empresa trata datos personales de ciudadanos de la Unión Europea, sí. Ya no importante donde esté la sede de la compañía, sino dónde esté la fuente de los datos. La respuesta, en este caso, es sencilla. Así, si estás en España y/o almacenas y utilizas datos de personas que viven dentro de las fronteras de la Unión Europea, tendrás que cumplir con el reglamento general de protección de datos.
Cualquier tipo de dato personal se tiene en cuenta. ¿Guardas direcciones de email para la distribución de una newsletter? ¿Almacenas teléfonos de clientes a los que llamas ofreciéndoles tu producto? ¿Guardas las direcciones de tus compradores habituales para enviarles cupones de fidelización? ¿Ofreces servicios de tratamiento de datos a terceras compañías? En todos los casos eres considerado responsable de dichos datos y, como tal, tienes que cumplir el RGPD.

2. Ya cumplo con la LOPD, ¿no es suficiente?

El RGPD busca mejorar la legislación en materia de protección de datos y unificarla a nivel europeo. Como tal, sustituye por completo a la ley española en materia, la LOPD. Sin embargo, como señalan desde la Autoridad Catalana de Protección de Datos, las organizaciones que cumplen adecuadamente con la LOPD española tienen una buena base para evolucionar hacia una correcta aplicación del RGPD.

El responsable del tratamiento de datos debe garantizar la seguridad de los datos y el cumplimiento del reglamento (y poder demostrarlo),
Como punto de partida, el reglamento europeo introduce dos grandes cambios respecto a la LOPD. El primero es el principio de responsabilidad activa. Es decir, el responsable del tratamiento de datos debe garantizar la seguridad de los datos y el cumplimiento del reglamento (y poder demostrarlo).
El segundo es el llamado enfoque de riesgo. Las medidas del RGPD no se aplican de la misma manera a todas las empresas. En función del tipo de riesgo y cuanto mayor sea, se tendrán en cuenta una serie de medidas que no se aplican para tipos de riesgo bajos.
Por último, conviene destacar que se debe contar con el consentimiento expreso para el tratamiento. A diferencia de lo que ocurría con la LOPD, no se admiten formas de consentimiento tácito o por omisión. El consentimiento, además de inequívoco, ha de ser explícito para el tratamiento de datos sensibles, la adopción de decisiones automatizadas y las transferencias internacionales.

3. ¿Por dónde empiezo?

Valorar este riesgo es, precisamente, el primer paso que debería tomar una empresa. Según la Agencia Española de Protección de Datos (AEPD), las grandes organizaciones, como regla general, deberán analizar los riesgos mediante alguna de las metodologías de análisis de riesgo existentes. En el caso de pymes con tratamientos de poca complejidad, el análisis será el resultado de una reflexión, documentada, sobre preguntas como:
¿Tratamos datos sensibles?
¿Tratamos datos de una gran cantidad de personas?
¿Cruzamos los datos con otros disponibles en otras fuentes?
¿Tratamos grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
Al margen del análisis de riesgo, se debe tener en cuenta que el RGPD contempla lo que se ha llamado la protección de datos desde el diseño y por defecto. Esto quiere decir que, antes de empezar a tratar los datos, los responsables deben tomar medidas organizativas y técnicas para garantizar el cumplimiento del reglamento de protección de datos. Sobre todo, se debe garantizar que solo se traten los datos necesarios.

4. ¿Cómo consigo que mis ficheros de datos sean más seguros?

Una de las grandes obligaciones de los responsables de tratamiento de datos es registrar todas sus actividades. El objetivo es poder demostrar que se está manteniendo el nivel de seguridad adecuado. En este registro deberán figurar aspectos como la finalidad del tratamiento o los datos implicados. Eso sí, las empresas de menos de 250 empleados están exentas, salvo excepciones como que el tratamiento entrañe un riesgo para los derechos y libertades de los interesados.
Las empresas deberán establecer sus propias medidas para garantizar la seguridad en función de los riesgos detectados.

5. He sufrido una quiebra de seguridad, ¿qué hago?

El RGPD marca una serie de actuaciones tras una violación de seguridad de los datos. Esto es “la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”, señala la AEPD. Es decir, desde la pérdida accidental de una memoria USB con datos de clientes a un robo masivo de información mediante un ataque informático.
Cuando se tenga constancia de esta quiebra, debe notificarse a la autoridad de protección de datos competente. Y debe hacerse dentro de las 72 horas siguientes. Esta notificación debe contener las medidas adoptadas para solventar la quiebra. Además, en algunos casos, los afectados directos también deberán ser notificados.

6. ¿Qué es el delegado de protección de datos?

Es una de las nuevas figuras introducidas por el RGPD. Es el contacto para los interesados dentro de la empresa que trate los datos. Debe disfrutar de autonomía y estar en contacto directo con la directiva de la empresa. Además, la compañía garantizará que dispone de los recursos necesarios.
¿Tiene tu empresa u organización que nombrar un delegado de protección de datos? Siempre puede hacerlo, pero solo es obligatorio para:
Autoridades y organismos públicos
Responsables que lleven a cabo una observación habitual y sistemática de interesados a gran escala
Responsables que traten datos sensibles a gran escala

7. Tengo que tratar con datos de menores, ¿qué cambia? 

Si guardas y tratas datos de personas menores de 18 años, el RGPD establece unas consideraciones especiales. La más clara es la necesidad de contar con la autorización expresa de padres o tutores para poder trabajar con datos de menores de 16.
Aun así, el reglamento europeo permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años, en la que el consentimiento directo del afectado es suficiente. En el caso de España, la edad fijada es de 13 años, mientras que en la LOPD era de 14. Por otro lado, el RGPD requiere que los responsables del tratamiento verifiquen que se ha dado el consentimiento paterno o de los tutores legales cuando sea necesario.


Observatorio de Recursos Humanos

ORH | Observatorio de Recursos Humanos

Desde 2006 trabajamos para ofrecer contenidos e información de valor para el profesional de la gestión de RRHH, con el convencimiento de que el conocimiento, en sus vertientes de creatividad, innovación y aprendizaje continuo, es el principal valor de una dirección eficaz.



Contacta con nosotros


Nuestros Otros Proyectos


Suscríbete al boletín

* campos obligatorios
Acepto las condiciones de uso y la política de privacidad


Síguenos en Redes Sociales