¿Cómo me adapto al RGPD?

Adaptarse al RGPD

Si el mes pasado hablábamos de que la Agencia Española de Protección de Datos había publicado una guía u hoja de ruta para que las Administraciones públicas pudieran dar los pasos oportunos para adaptarse al Reglamento General de Protección de Datos europeo (RGPD), este mes tenemos que hablar de la misma guía, pero para el sector privado (empresas y profesionales y otras entidades privadas), igualmente publicada por la Agencia en su web.

Si eres por tanto un profesional autónomo, asociación privada, fundación privada o empresario, te interesa esta información, y debes tener en cuenta que la nueva normativa se aplicará plenamente desde el 25 de mayo de 2018.

La breve guía se puede consultar en este enlace oficial:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_sector_privado.pdf

Estos son los pasos a seguir:

1º. Nombramiento de un Delegado de Protección de Datos. Ojo, que no todos los profesionales, entidades o empresas tienen que designarlo. Sólo procede en los casos que indica la normativa. Como siempre que aparece una legislación nueva (o no tan nueva) empiezan a circular infinidad de bulos y datos erróneos. Este es uno de ellos. Son muchas las personas que me llaman preocupadas porque les han asegurado que tienen que designar un Delegado de protección de datos. En la mayoría de los casos eso es totalmente incorrecto.

2º. Redactar el Registro de Actividades de Tratamiento. No lo aclara la Agencia, pero se hará cuando la Ley lo exija. También aquí hay excepciones en el RGPD.

3º. Realizar un análisis de riesgos: este sí que lo tienen que hacer todos los responsables de tratamiento y encargados de tratamiento. Pero también es cierto que en unos casos será un trámite muy sencillo y en otros, será más complicado.

4º. Revisión de medidas de seguridad destinadas a la protección de los datos de carácter personal, teniendo en cuenta el análisis de riesgos anterior.

5º. Crear mecanismos y procedimientos para la notificación de las violaciones de seguridad de los datos de carácter personal.

6º. Elaborar un informe de Evaluación de Impacto cuando proceda (ni mucho menos es aplicable a todos los responsables y encargados de tratamiento).

7º. Modificar las cláusulas informativas que se puedan firmar con clientes, que pueda haber en las webs y en otros supuestos.

8º. Adaptar mecanismos y procedimientos para facilitar el ejercicio de los derechos de los ciudadanos (acceso, rectificación, supresión, oposición, etc…).

9º. Revisar y actualizar los contratos de encargados de tratamiento y verificar si estos últimos cumplen las exigencias del RGPD.

10º. Revisar la política de privacidad de la entidad en general.

11º. Por último, se insiste en la importancia de dejar documentada la realización de todo lo anterior.

 

 

Instrucciones Agencia Española Protección de Datos

Recientemente, la Agencia Española de Protección de Datos ha publicado una pequeña guía dirigida a las administraciones públicas, sobre cómo organizar la adaptación al Reglamento General de Protección de Datos (en adelante, RGPD), con la idea de facilitar la referida tarea.

Me parece interesante el documento no sólo para las administraciones públicas, sino para todos los responsables y encargados de tratamiento, puesto que también les sirve de orientación en buena medida.

El texto se puede leer aquí:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_AAPP.pdf

Estas son las instrucciones que se proporcionan:

1ª. Designar al DELEGADO DE PROTECCIÓN DE DATOS en los casos que sea obligatorio según el RGPD.

2ª. Confeccionar el REGISTRO DE ACTIVIDADES DE TRATAMIENTO y poner especial atención en los tratamiento de datos especiales (sensibles) y de menores de edad.

3ª. Establecer las bases jurídicas de cada tratamiento (contratos de prestación de servicios, imperativo legal, consentimiento expreso, etc…).

4ª. Hacer un ANÁLISIS DE RIESGOS y teniendo en cuenta el mismo, determinar qué medidas de seguridad se aplicarán para proteger los datos.

5ª. Establecer procesos de VERIFICACIÓN DE LAS MEDIDAS DE SEGURIDAD.

6ª. En el caso de tratamientos de alto riesgo, se deberá llevar a cabo una EVALUACIÓN DE IMPACTO.

7ª. Adaptar las CLÁUSULAS INFORMATIVAS para que se ajusten a las previsiones del RGPD.

8ª. Establecer MEDIOS ELECTRÓNICOS para el ejercicio de los DERECHOS ARCO o derechos de los ciudadanos.

9ª. Revisar los CONSENTIMIENTOS de los interesados, puesto que ahora deben ser EXPRESOS; y dar la posibilidad de revocarlos.

10ª. Adaptar al RGPD los contratos de ENCARGADOS DE TRATAMIENTO y analizar si los mismos cumplen las obligaciones del RGPD.

11ª. Crear y aplicar POLÍTICAS DE PROTECCIÓN DE DATOS y poder demostrarlo.

12ª. Llevar a cabo un plan de FORMACIÓN para los trabajadores en materia de protección de datos.

La mayor parte de estas medidas son perfectamente aplicables a empresas, autónomos y otras entidades que traten datos y que procedan a adaptarse al RGPD, por tanto también pueden tenerlas en cuenta, con las debidas matizaciones.

 

 

Registro Actividades y AEPD

Cómo hacer un registro de actividades

En fecha reciente, la Agencia Española de Protección de Datos, publicaba una noticia titulada NUEVA FUNCIONALIDAD DEL SERVICIO DE SOLICITUD DE COPIA DE LA INSCRIPCIÓN DE FICHEROS, que se puede leer completa aquí:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_11_21-ides-idphp.php

Se trata de que accediendo a la sección indicada, los responsables de tratamiento puedan descargar en formato digital un contenido que puede servir de base para confeccionar el Registro de actividades exigido en el artículo 30 del Reglamento General de Protección de Datos europeo.

Eso sí, no se debe olvidar que este Registro no será obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

El Registro de actividades viene a sustituir a la obligación de notificar los ficheros al Registro de la Agencia Española de Protección de Datos, de modo que a partir de finales de mayo de 2018 la obligación de notificación dejará de existir, pero será necesario confeccionar este Registro o inventario de tratamientos de datos.

El Registro no hace falta que se publique ni se envíe a ningún organismo, pero tendrá que estar a disposición de la Agencia Española de Protección de Datos u organismo equivalente que lo solicite. No obstante, las administraciones públicas sí que tienen que publicarlo, siendo accesible por medios electrónicos (en su web, por ejemplo).

La obligación incumbe –con la expeción antes mencionada- tanto a responsables de fichero como a encargados de tratamiento.

En la web de la Agencia, lo que se puede descargar es un Excel o XML con el contenido completo de las inscripciones efectuadas.

La herramienta de la Agencia FACILITA, de la que ya hemos hablado en otra ocasión, genera –entre otros documentos- la estructura y contenido del registro de actividades, por lo que puede servir de guía, al menos para entidades que no presentan riesgos en materia de tratamiento de datos de carácter personal.