Categoría: incidentes seguridad

¿Cómo me adapto al RGPD?

Adaptarse al RGPD

Si el mes pasado hablábamos de que la Agencia Española de Protección de Datos había publicado una guía u hoja de ruta para que las Administraciones públicas pudieran dar los pasos oportunos para adaptarse al Reglamento General de Protección de Datos europeo (RGPD), este mes tenemos que hablar de la misma guía, pero para el sector privado (empresas y profesionales y otras entidades privadas), igualmente publicada por la Agencia en su web.

Si eres por tanto un profesional autónomo, asociación privada, fundación privada o empresario, te interesa esta información, y debes tener en cuenta que la nueva normativa se aplicará plenamente desde el 25 de mayo de 2018.

La breve guía se puede consultar en este enlace oficial:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_sector_privado.pdf

Estos son los pasos a seguir:

1º. Nombramiento de un Delegado de Protección de Datos. Ojo, que no todos los profesionales, entidades o empresas tienen que designarlo. Sólo procede en los casos que indica la normativa. Como siempre que aparece una legislación nueva (o no tan nueva) empiezan a circular infinidad de bulos y datos erróneos. Este es uno de ellos. Son muchas las personas que me llaman preocupadas porque les han asegurado que tienen que designar un Delegado de protección de datos. En la mayoría de los casos eso es totalmente incorrecto.

2º. Redactar el Registro de Actividades de Tratamiento. No lo aclara la Agencia, pero se hará cuando la Ley lo exija. También aquí hay excepciones en el RGPD.

3º. Realizar un análisis de riesgos: este sí que lo tienen que hacer todos los responsables de tratamiento y encargados de tratamiento. Pero también es cierto que en unos casos será un trámite muy sencillo y en otros, será más complicado.

4º. Revisión de medidas de seguridad destinadas a la protección de los datos de carácter personal, teniendo en cuenta el análisis de riesgos anterior.

5º. Crear mecanismos y procedimientos para la notificación de las violaciones de seguridad de los datos de carácter personal.

6º. Elaborar un informe de Evaluación de Impacto cuando proceda (ni mucho menos es aplicable a todos los responsables y encargados de tratamiento).

7º. Modificar las cláusulas informativas que se puedan firmar con clientes, que pueda haber en las webs y en otros supuestos.

8º. Adaptar mecanismos y procedimientos para facilitar el ejercicio de los derechos de los ciudadanos (acceso, rectificación, supresión, oposición, etc…).

9º. Revisar y actualizar los contratos de encargados de tratamiento y verificar si estos últimos cumplen las exigencias del RGPD.

10º. Revisar la política de privacidad de la entidad en general.

11º. Por último, se insiste en la importancia de dejar documentada la realización de todo lo anterior.

 

 

Medidas de seguridad en el Reglamento Europeo

Seguridad y protección de datos

Como sabemos, el RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD), regula un número significativo de medidas técnicas de seguridad que los responsables de fichero han de poner en práctica para hacer efectivo el Derecho a la protección de datos de carácter personal. A nadie se le escapa que dicho Derecho quedaría en nada si no viniera respaldado por un mínimo de seguridad.

Como no podía ser de otra forma, al legislador europeo también le ha preocupado especialmente este tema. Así, en el considerando 78 del nuevo Reglamento Europeo se indica que es necesaria la adopción de medidas técnicas y organizativas que garanticen el cumplimiento de los requisitos del propio Reglamento. Se hace una relación de qué tipo de medidas pueden ser estas; a saber:

  1. Reducir al máximo el tratamiento de datos personales.
  2. Seudonimizar lo antes posible los datos personales.
  3. Dar transparencia a las funciones y el tratamiento de datos personales.

El considerando 81 incide, por otro lado, en la necesidad de que el responsable de fichero que contrata a un encargado de tratamiento, recurra únicamente a encargados que ofrezcan suficientes garantías (conocimientos especializados, fiabilidad, y recursos de cara a la aplicación de medidas técnicas y organizativas propias del reglamento, entre ellas, la seguridad, por supuesto).

Además, la relación con este encargado de tratamiento (como ya dispone nuestro artículo 12 LOPD), debe constar en un contrato escrito con un contenido definido por la norma.

Por tanto, hay que ser muy cautelosos a la hora de contratar a un prestador de servicios que vaya a tratar datos de nuestros clientes (por ejemplo: un asesor fiscal), y elegir a aquellos que cumplan la normativa de protección de datos.

En el considerando 83, nos dice el Reglamento Europeo que el responsable de ficheros debe evaluar los riesgos propios del tratamiento y aplicar medidas para mitigarlos, como el cifrado, y el 85, se impone la obligación de notificar –en un plazo de 72 horas- a la autoridad de control competente las violaciones se seguridad que puedan producirse (también se habrá de notificar al propio perjudicado).

Por su parte el considerando 90 establece que en determinados casos, los responsables de fichero tendrán que realizar una evaluación de impacto sobre protección de datos para valorar la particular gravedad y probabilidad del alto riesgo.

¿Qué comunicar a la AEPD?

Registro Agencia Española Proteccion Datos

A lo largo de las entradas de este blog, he ido hablando de este tema, pero dado que es una de las preguntas que más me hacen a lo largo del día, le quiero dedicar hoy un artículo especial.

Se trata de una cuestión que preocupa mucho a empresarios, profesionales y responsables de otras entidades, a la hora de adaptarse a la normativa sobre protección de datos de carácter personal.

Es la siguiente:

– Pero Vanesa, ¿qué datos le tengo que comunicar yo a la Agencia Española de Protección de Datos?

A esa pregunta, muchos clientes inquietos añaden otra –sin darme tiempo para contestar la primera-, que es ésta:

– ¡¿No tendré que decirle a la Agencia los nombres y datos de todos mis clientes, verdad, Vanesa?!

Tranquilidad.

No, señor.

No tienes que decirle a la Agencia los datos de tus clientes, ni mucho menos.

Realmente los datos que la Ley te obliga a comunicarle a la Agencia son muy pocos:

1º. Tienes que comunicarle a la AEPD qué ficheros de datos de carácter personal vas a almacenar y tratar. Esto se hace mediante un formulario que se notifica al referido organismo, donde tienes que especificar tus datos profesionales de contacto (nombre, domicilio social, CIF, actividad y poco más) y el tipo de datos que manejarás. En ningún momento tienes que trasladar a la Administración información sobre tus clientes, trabajadores, proveedores, contactos…

2º. Brechas o incidentes de seguridad que afecten a datos personales: pero ojo, que esta obligación sólo te afecta si eres un proveedor de servicios de comunicaciones electrónicas. No se te aplica en el resto de los casos.

Y para de contar.

Por supuesto, que en términos más amplios, estás sujeto a lo que se conoce como deber de colaboración con la administración, de tal modo que si te abren un expediente en la Agencia y te requieren para que aportes algún datos, en principio, tendrás que hacerlo.

¡Ah, Vanesa, espera –me añaden los clientes más avispados-, te olvidas de las auditorías bienales!

Pues no, te equivocas. No me he olvidado.

Sencillamente, ni la LOPD ni su Reglamento de desarrollo exigen que envíes a la Agencia el resultado de la auditoría. Sólo se especifica que deberá estar a disposición de una posible inspección.

Cierro esta entrada comentando el tema de los Códigos Tipo, por si has oído hablar de ellos y te han dicho que se tienen que registrar en la AEPD.

Eso sí es correcto.

No obstante, los Códigos Tipo no son obligatorios y sólo los elaboras si así lo quieres. Tienen el carácter de códigos deontológicos o de buena práctica profesional.

Espero haber aclarado estas cuestiones de una vez.