GDPR

GDPR

 

¿Te suenan de algo las siglas GDPR o RGPD?

Si eres autónomo, tienes una empresa, o formas parte de otro tipo de entidad, lo más probable es que sí, porque en los últimos meses se ha convertido en un tema de actualidad y de preocupación en casi todos los sectores profesionales y empresariales.

El GDPR no es una novedad, ciertamente. Es otra normativa de protección de datos europea que hereda muchos de los principios que ya se aplicaban desde hace años y que introduce algunas novedades (y algunas ni siquiera son muy novedosas, todo hay que decirlo).

GDPR se corresponde a las siglas en inglés de General Data Protection Regulation, y no es otra cosa que el famoso Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

Sus siglas en español son RGPD.

Así que habrás oído u oirás hablar de él de las dos formas: GDPR y RGPD.

El GDPR está en vigor desde el pasado 25 de mayo de 2016, y será plenamente aplicable desde el 25 de mayo de 2018.

Sois muchos los que me preguntáis si ya os podéis adaptar al GDPR o si tenéis que esperar al 25 de mayo próximo.

Sí que podéis. En términos generales, el Reglamento te dice cómo y en los últimos meses la Agencia Española de Protección de Datos ha emitido instrucciones en su web sobre cómo llevarlo a la práctica.

Eso no quiere decir ni mucho menos que ya esté todo perfectamente definido y perfilado, pero en general la adaptación se puede hacer. Y no sólo se puede, sino que se debe, de manera que el 25 de mayo próximo ya deberías haberla llevado a cabo.

Algunos detalles siguen en el aire, ya que estamos a la espera de la aprobación de la nueva LOPD española, que ha de ajustarse al marco del Reglamento Europeo.

Pero insisto, en lo esencial, te puedes adaptar ya a la normativa.

Si ya estabas adaptado previamente a la LOPD, te resultará más fácil y estarás ya familiarizado con la mayoría de los conceptos.

Si no, tampoco es el fin del mundo. La adaptación no se ha complicado en exceso.

Eso sí, una vez más te recomiendo que te andes con mucho ojo con ese juego despreciable de la desinformación en el que participan un montón de falsos asesores. Te desinformarán vilmente con tal de venderte servicios que probablemente no necesites.

Y mucha atención al juego de las certificadoras.

El GDPR –no me cabe la menor duda- es básicamente un invento de las certificadoras europeas, para seguir viviendo del cuento del que siempre han vivido.

Es cierto que el GDPR recoge en sus artículos la posibilidad de certificarse tanto en cumplimiento del Reglamento, como en Delegado de Protección de Datos. Pero las certificaciones no son en ningún caso obligatorias.

Siempre he dicho y seguiré diciendo que las certificaciones son una tomadura de pelo y una estafa. Pagas (y no poco) por conseguir un sello. Y encima, sigues pagando por renovarlo periódicamente.

Así también me certifico yo. En Máster del Universo Experto en Protección de Patos, por ejemplo.

O de datos.

O de gatos.

O de lo que se tercie.

Protección de Patos

¿Cómo me adapto al RGPD?

Adaptarse al RGPD

Si el mes pasado hablábamos de que la Agencia Española de Protección de Datos había publicado una guía u hoja de ruta para que las Administraciones públicas pudieran dar los pasos oportunos para adaptarse al Reglamento General de Protección de Datos europeo (RGPD), este mes tenemos que hablar de la misma guía, pero para el sector privado (empresas y profesionales y otras entidades privadas), igualmente publicada por la Agencia en su web.

Si eres por tanto un profesional autónomo, asociación privada, fundación privada o empresario, te interesa esta información, y debes tener en cuenta que la nueva normativa se aplicará plenamente desde el 25 de mayo de 2018.

La breve guía se puede consultar en este enlace oficial:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_sector_privado.pdf

Estos son los pasos a seguir:

1º. Nombramiento de un Delegado de Protección de Datos. Ojo, que no todos los profesionales, entidades o empresas tienen que designarlo. Sólo procede en los casos que indica la normativa. Como siempre que aparece una legislación nueva (o no tan nueva) empiezan a circular infinidad de bulos y datos erróneos. Este es uno de ellos. Son muchas las personas que me llaman preocupadas porque les han asegurado que tienen que designar un Delegado de protección de datos. En la mayoría de los casos eso es totalmente incorrecto.

2º. Redactar el Registro de Actividades de Tratamiento. No lo aclara la Agencia, pero se hará cuando la Ley lo exija. También aquí hay excepciones en el RGPD.

3º. Realizar un análisis de riesgos: este sí que lo tienen que hacer todos los responsables de tratamiento y encargados de tratamiento. Pero también es cierto que en unos casos será un trámite muy sencillo y en otros, será más complicado.

4º. Revisión de medidas de seguridad destinadas a la protección de los datos de carácter personal, teniendo en cuenta el análisis de riesgos anterior.

5º. Crear mecanismos y procedimientos para la notificación de las violaciones de seguridad de los datos de carácter personal.

6º. Elaborar un informe de Evaluación de Impacto cuando proceda (ni mucho menos es aplicable a todos los responsables y encargados de tratamiento).

7º. Modificar las cláusulas informativas que se puedan firmar con clientes, que pueda haber en las webs y en otros supuestos.

8º. Adaptar mecanismos y procedimientos para facilitar el ejercicio de los derechos de los ciudadanos (acceso, rectificación, supresión, oposición, etc…).

9º. Revisar y actualizar los contratos de encargados de tratamiento y verificar si estos últimos cumplen las exigencias del RGPD.

10º. Revisar la política de privacidad de la entidad en general.

11º. Por último, se insiste en la importancia de dejar documentada la realización de todo lo anterior.