El camino a la meta de las empresas para adaptarse al nuevo reglamento general de protección de datos

Escrito por Carme Setó | Mercantil

02/05/2018

A menos de un mes de la aplicación obligatoria del Reglamento General de Protección de Datos Europeo (RGPD), y aún con muchas preguntas en el aire, las empresas españolas trabajan contrarreloj para adaptarse a las exigencias del nuevo marco legal; sin perjuicio de estar a la espera de una nueva Ley Orgánica de Protección de Datos que previsiblemente no se aprobará hasta finales de este año.


Ante dicho escenario, si bien pudiera parecer que las empresas están en un sprint final para llegar a la meta del próximo 25 de mayo sin tareas pendientes, la realidad no es otra que esta fecha es sólo el principio de un cambio sustancial para las empresas; que deben responsabilizarse de aplicar políticas eficaces de protección de los datos que les permitan garantizar la integridad y confidencialidad de los datos que tratan.


Conforme lo anterior, si bien las empresas grandes iniciaron ya hace un tiempo un proceso de adaptación gradual al nuevo RGPD, a fecha de hoy las PYMES van más retrasadas en la adaptación al RGPD y se les plantean serias dudas sobre su capacidad para adaptarse a las previsiones del nuevo marco normativo, sin olvidar que este se les aplica de igual forma que a las grandes empresas, con multas que pueden alcanzar los 20 millones de euros o hasta un 4 % de la facturación anual.


Para ello, es importante que las empresas conozcan en qué aspectos incide el nuevo RGPD, que tomen consciencia de la necesidad de proteger los datos y, además, se preparen para poder aplicar de forma efectiva y acompañada por expertos las medidas técnicas y organizativas más adecuadas al tratamiento de los datos de los que son responsables.


De conformidad con lo anterior, la nueva normativa se traduce para las empresas en poder acreditar que cumplen con el nuevo RGPD; por lo que, si queremos tener los deberes hechos, es recomendable tener en cuenta los siguientes aspectos:


  • Iniciar un proceso de análisis: No hay que olvidar que la nueva normativa es compleja e incide en diferentes requisitos adicionales a la normativa actual; sobre todo si las empresas afectadas destinan su actividad habitual al tratamiento del dato, tratan datos de categoría especial o de sectores vulnerables, tratan datos a “gran escala”, o requieren de un delegado de protección de datos. Para ello, es importante identificar, analizar y evaluar los riesgos tecnológicos, organizativos o jurídicos que le afectan, sirviéndose habitualmente de datos históricos de los que se dispongan para llevar a cabo dicho análisis.


  • Elaborar un mapa de ruta: Realizado un análisis previo que permita detectar los riesgos actuales, así como el grado de cumplimiento, resulta recomendable redactar una hoja de ruta que permita la implementación gradual de las medidas técnicas y organizativas más adecuadas para eliminar los riesgos o, en su caso, minimizarlos. En cualquier caso, es recomendable dar prioridad a aquellas tareas que van dirigidas al usuario final y que pueden tener mayor impacto ante su visibilidad.


  • Elaborar un registro de actividades del tratamiento: Si bien será obligatoria para determinadas empresas y tratamiento de datos, es recomendable elaborar esta herramienta en cualquier caso ya que permite demostrar el cumplimiento del nuevo RGPD. El registro de actividades deberá contener (i) los datos del responsable del tratamiento; (ii) las categorías de datos objeto del tratamiento; (iii) en su caso, las transferencias de datos personales a un tercer país o una organización internacional; así como, (iv) una descripción general de las medidas técnicas y organizativas de seguridad que el responsable aplique para garantizar el cumplimiento del RGPD.


  • Elaborar protocolos de notificación de posibles brechas de seguridad: El RGPD viene a establecer importantes novedades cuando una empresa sufra una brecha de seguridad que pueda implicar, por ejemplo, filtraciones de datos personales.


Para ello, y a los efectos de poder acreditar ante la Autoridad de control el cumplimiento de los requisitos que prevé el RGPD ante dichos incidentes, la empresa deberá disponer de un registro de brechas de seguridad, en el que se dejará constancia de los aspectos concretos del incidente de seguridad producido; en concreto, el detalle de los hechos, los efectos que se han producido, el posible riesgo sobre los derechos y libertades de los interesados y las medidas correctoras a aplicar para corregir el incidente ocurrido y evitar supuestos similares. Además, se deberá dar cumplimiento al deber de comunicar a la Autoridad de Control competente el incidente en el plazo máximo de 72 horas desde que sucedió y, en su caso, informar a los interesados afectados.


Paralelamente y, en un plano más organizativo, las empresas, entre otros aspectos, deberán: revisar y adecuar los formularios de derecho de información para el interesado; prever los procedimientos más adecuados para el ejercicio de los nuevos derechos que prevé el RGPD; revisar los consentimientos recabados hasta la fecha de los interesados y, en su caso, adecuar un procedimiento para recoger nuevos consentimientos al tratamiento; prever si nuestra empresa necesita, -o en todo caso, es recomendable- designar un delegado de protección de datos; y prever los planes de formación y de mantenimiento periódicos que les permita seguir cumpliendo con el principio de responsabilidad que marca el RGPD.


Es por tanto necesario que las empresas asuman la necesidad de adecuarse al nuevo escenario normativo, prevean un plan de acción en los términos indicados y un calendario que les permita de forma gradual cumplir con sus obligaciones, dando prioridad en cualquier caso, a aquellos aspectos que puedan tener más visibilidad ante terceros.



Carme Setó

Escrito por:
Carme Setó

< Volver a Noticias

Este sitio web utiliza cookies propias y de terceros para recopilar información estadística sobre tus hábitos de navegación y poder así mejorar y personalizar tu experiencia ofreciéndote contenidos de tu interés. Si sigues navegando, consideramos que aceptas su instalación y uso. Puedes obtener más información en la política de cookiesX