Asociación Española de Expertos en la
Relación con Clientes
ACCESO USUARIOS
Legislación (23 Enero 2019)
Adaptarse al Reglamento de Protección de Datos en 7 pasos
Hace solo unos días, el Consejo de Ministros aprobaba la remisión a las Cortes Generales del Proyecto de Ley Orgánica de Protección de Datos que adaptará la legislación española a las disposiciones del Reglamento homónimo (RGPD) de 2016. Las empresas españolas tienen que prepararse para su adaptación a esta norma, que será de aplicación a partir del próximo 25 de mayo de 2018.
El nuevo Reglamento nace con el objetivo de facilitar la adaptación de la protección de datos a la rápida evolución tecnológica y los fenómenos derivados de la globalización y el desarrollo de la sociedad de la información. Con este fin, introduce cambios significativos que las pequeñas, medianas y grandes empresas deberán tener en consideración a la hora de recoger y tratar los datos de sus clientes, proveedores y colaboradores.
En el caso concreto de España, donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución, el nuevo Reglamento recoge novedades tanto en el régimen de consentimiento como en el de los tratamientos y surgen nuevas figuras y procedimientos. Entre las novedades:
¿Cómo pueden las empresas afrontar estos cambios? Esta es nuestra propuesta:
PLAN DE ADAPTACIÓN AL RGPD EN 7 PASOS
Las empresas españolas tendrán que elaborar y desarrollar un plan de actuación a la hora de abordar los cambios regulatorios en el que deben colaborar diferentes departamentos de la empresa. En este caso, como mínimo, deberían estar representantes de diferentes áreas de la empresa como los departamentos jurídico, de marketing, IT, recursos humanos y dirección —es decir, todas aquellas áreas que estén implicadas en el tratamiento de datos—.
Asimismo, como cualquier otro plan debe ser realizado de una forma sistemática, documentada, mediante evidencias, y tener carácter revisable.
Para su realización será de gran utilidad la documentación existente en la empresa. En particular, la relación de ficheros inscritos en el Registro de la Agencia Española de Protección de Datos; el documento de seguridad donde se describen las medidas de seguridad existentes; y los contratos con proveedores que traten los datos de los usuarios.
Un plan de actuación de este tipo se puede estructurar en 7 actuaciones básicas:
1. MAPEO DE LOS DATOS QUE SE TRATAN
Esta primera fase tiene como objetivo el conocimiento. La actividad que se desarrolla dentro de ella se debe centrar en conocer y realizar un análisis de los datos que se tratan:
Para qué se tratan esos datos o qué utilidad tienen para la empresa.
2. LEGITIMACIÓN DEL TRATAMIENTO
Esta segunda fase consiste en estudiar e identificar cuál es el elemento o causa que permite tratar los datos. El Reglamento no aporta ninguna novedad esencial sobre este aspecto. Los motivos por lo que se pueden tratar los datos siguen siendo los mismos que los contemplados en la actual normativa de protección de datos.
Los datos de los usuarios únicamente se van a poder tratar cuando:
No obstante, el nuevo Reglamento sí que supone un cambio importante con respecto al consentimiento. El Reglamento establece que dicho consentimiento debe ser manifestado a través de una declaración positiva, como puede ser a través de una casilla no pre-marcada. No cabe el consentimiento tácito; es decir, cuando el tratamiento no se fundamente en ninguno de los otros supuestos será necesario obtener el consentimiento expreso del usuario.
3. LA OBLIGACIÓN DE INFORMACIÓN A LOS USUARIOS
Esta es una obligación que afecta especialmente a los responsables del tratamiento de los datos.
Esta obligación no es una novedad en sí misma, puesto que ya está presente en la actual normativa. Sin embargo, se introducen algunos matices sobre el contenido y la forma en que debe facilitarse la información a los usuarios.
Sobre la forma, el Reglamento dice que se debe facilitar la información a los usuarios de manera concisa, transparente, inteligible, con un lenguaje claro y sencillo.
Con respecto al contenido, el Reglamento añade una serie de nuevas cuestiones sobre las que hay que informar:
Esto nos lleva a tener que revisar y adaptar al nuevo Reglamento las políticas de privacidad utilizadas para recabar datos. Para ello puede resultar muy útil la guía elaborada por la Agencias Española de Protección de Datos sobre el derecho de información que, en aras del deber de transparencia y sencillez, propone un formato de información por capas.
4. ATENCIÓN DE LOS DERECHOS DE LOS INTERESADOS
Tampoco se puede decir que esta materia sea una completa novedad, aunque es cierto que reformula y matiza los derechos ya existentes y crea nuevos derechos como puede ser el derecho al olvido o de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad de datos.
Como novedades, el Reglamento establece que el plazo para atender los derechos es de un mes máximo, que puede prorrogarse hasta dos meses según las circunstancias y de forma justificada, y que la atención a los derechos debe ser gratuita, aunque se prevé que se pueda solicitar un pago en determinadas ocasiones, como en el que caso que la solitud sea repetitiva.
5. LAS RELACIONES ENTRE EL RESPONSABLE Y EL ENCARGADO DEL TRATAMIENTO DE LOS DATOS
En esta fase será necesario analizar las relaciones entre la empresa y todos aquellos proveedores que, como consecuencia de la prestación de un servicio a la empresa, tratan los datos de los usuarios, por lo que desde el punto de vista de la protección de datos se les considera como encargados de tratamiento.
Sobre estas relaciones se puede decir que el reglamento respeta la situación actual, pero introduce algunos matices importantes.
El Reglamento impone a los encargados y subencargados obligaciones que les son aplicables directamente, como:
También impone a los responsables actuar con diligencia a la hora de seleccionar a los proveedores que actúan como encargados o subencargados, de forma que solo puedan contratar a aquellos que sean capaces y puedan demostrar que cumplen con el Reglamento ofreciendo las garantías necesarias o a través de certificados o adhesiones a códigos de conducta.
También recoge la obligación de que las relaciones entre los responsables y los encargados se formalicen por escrito y enumera el contenido mínimo que debe tener este documento. Por ello, se hace necesario revisar los acuerdos que existan entre responsables y encargados con la finalidad de verificar si tienen ese contenido mínimo y adaptarlos en su caso.
En este sentido pueden resultar útiles las directrices para la elaboración de contratos entre responsables y encargados publicadas por la AEPD, así como las cláusulas tipo que está previsto que apruebe la Comisión Europea.
6. MEDIDAS DE RESPONSABILIDAD PROACTIVA
Una gran novedad del Reglamento con respecto a la normativa actual es la serie de medidas de carácter técnico y organizativo que incluye y que se han denominado de responsabilidad proactiva.
De acuerdo con la normativa actual, existe un catálogo de medidas de seguridad que las empresas deben adoptar en función de si los datos se califican como de nivel bajo, medio o alto. Sin embargo, a partir de mayo de 2018, las empresas deberán demostrar que actúan de forma diligente cada vez que vayan a desarrollar un tratamiento de datos —por ejemplo, cuando vayan a desarrollar una web, una app, un dispositivo Iot, contratar un nuevo software a nuevo proveedor o desarrollar una promoción, entre otras—.
Para ello tendrá que llevar a cabo distintas acciones:
1. En primer lugar, un análisis de riesgo documentado sobre cuál es el impacto que tiene sobre la protección de datos, el tratamiento que se va a realizar. Para valorar el grado de riesgo hay que tener en cuenta:
Según el tipo de respuesta que demos a estas preguntas el tratamiento de datos será de mayor o menor riesgo.
2. En segundo lugar, en función del riesgo determinado, será necesario adoptar una serie de medidas con objeto de minimizar o eliminar los riesgos detectados, que son principalmente:
7. LAS TRANSFERENCIAS INTERNACIONALES DE DATOS
Finalmente, es necesario revisar si se está realizando algún tipo de transferencia de datos a países de fuera del Unión Europea y, en su caso, ver si se está haciendo con las garantías necesarias:
Si no concurre ninguna de estas situaciones sería necesario solicitar autorización a Agencia Española de Protección de Datos.
Fuente: adigital.org