Asesorías y RGPD

Asesorías

Cuando cualquier empresa o profesional acude a una asesoría fiscal y/o laboral para que le preste –por ejemplo-servicios de presentación de impuestos y/o confección de nóminas, entra directamente en juego el artículo 28.1 del Reglamento General de Protección de Datos Europeo de 2016 (RGPD), en el que regula la figura del encargado de tratamiento.

Según dicho precepto:

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Siguiendo con el caso que exponíamos al principio, y para que el lector lo entienda, la empresa o profesional sería el responsable de tratamiento y la ASESORÍA, el encargado de tratamiento.

La Asesoría trata datos por cuenta de la empresa. Datos que pueden ser los nombres, apellidos, DNI, nº de seguridad social, etc… de sus trabajadores, y a los que es necesario acceder para poder prestar el servicio de confección de nóminas laborales.

Pues bien, el artículo 28.1 del RGPD significa que la empresa que quiera contratar a un asesor fiscal y/o laboral tendrá que elegir obligatoriamente a uno que esté adaptado al RGPD.

De ahí la importancia de que asesorías y profesionales que prestan este tipo de servicios se adapten al RGPD, que se aplicará plenamente a partir del 25 de mayo de 2018.

Por tanto, si eres una asesoría debes preocuparte por llevar a cabo esta adaptación.

Estar ya adaptado a la LOPD supone tener recorrido parte del camino de adecuación normativa. No obstante, no es suficiente, ya que el RGPD ha introducido una serie de cambios y novedades que te afectan.

De forma resumida, estas son las modificaciones:

1º. Has de llevar a cabo un análisis de riesgos, donde reflexiones sobre las amenazas que puede haber en tu organización para la protección de datos de carácter personal. Este análisis se recogerá por escrito.

2º. En ciertos casos, hay que nombrar un Delegado de Protección de Datos. Probablemente no sea tu caso, ya que existen no pocas excepciones, pero es algo que –en todo caso- debes aclarar.

3º. Tienes que confeccionar un registro de actividades de tratamiento, donde determines qué datos tratas y para qué finalidades, así como el resto de parámetros que exige el RGPD.

4º. Debes establecer una política de protección de datos y unas medidas de seguridad eficaces que hagan real y efectivo del derecho fundamental de protección de datos.

5º. También has de utilizar una serie de cláusulas para facilitar el derecho de información de los interesados, a través de la firma de impresos y /o textos legales en la web, entre otras vías.

6º. Tienes que revisar los contratos de acceso a datos que puedas tener firmados con entidades que te prestan servicios.

No cumplir las novedades de la norma puede implicar, por tanto, no sólo el riesgo de ser sancionado por la autoridad competente, sino también el de perder clientela que no podrá elegir a un prestador de servicio con acceso a datos que no esté adaptado al RGPD.

 

GDPR

GDPR

 

¿Te suenan de algo las siglas GDPR o RGPD?

Si eres autónomo, tienes una empresa, o formas parte de otro tipo de entidad, lo más probable es que sí, porque en los últimos meses se ha convertido en un tema de actualidad y de preocupación en casi todos los sectores profesionales y empresariales.

El GDPR no es una novedad, ciertamente. Es otra normativa de protección de datos europea que hereda muchos de los principios que ya se aplicaban desde hace años y que introduce algunas novedades (y algunas ni siquiera son muy novedosas, todo hay que decirlo).

GDPR se corresponde a las siglas en inglés de General Data Protection Regulation, y no es otra cosa que el famoso Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

Sus siglas en español son RGPD.

Así que habrás oído u oirás hablar de él de las dos formas: GDPR y RGPD.

El GDPR está en vigor desde el pasado 25 de mayo de 2016, y será plenamente aplicable desde el 25 de mayo de 2018.

Sois muchos los que me preguntáis si ya os podéis adaptar al GDPR o si tenéis que esperar al 25 de mayo próximo.

Sí que podéis. En términos generales, el Reglamento te dice cómo y en los últimos meses la Agencia Española de Protección de Datos ha emitido instrucciones en su web sobre cómo llevarlo a la práctica.

Eso no quiere decir ni mucho menos que ya esté todo perfectamente definido y perfilado, pero en general la adaptación se puede hacer. Y no sólo se puede, sino que se debe, de manera que el 25 de mayo próximo ya deberías haberla llevado a cabo.

Algunos detalles siguen en el aire, ya que estamos a la espera de la aprobación de la nueva LOPD española, que ha de ajustarse al marco del Reglamento Europeo.

Pero insisto, en lo esencial, te puedes adaptar ya a la normativa.

Si ya estabas adaptado previamente a la LOPD, te resultará más fácil y estarás ya familiarizado con la mayoría de los conceptos.

Si no, tampoco es el fin del mundo. La adaptación no se ha complicado en exceso.

Eso sí, una vez más te recomiendo que te andes con mucho ojo con ese juego despreciable de la desinformación en el que participan un montón de falsos asesores. Te desinformarán vilmente con tal de venderte servicios que probablemente no necesites.

Y mucha atención al juego de las certificadoras.

El GDPR –no me cabe la menor duda- es básicamente un invento de las certificadoras europeas, para seguir viviendo del cuento del que siempre han vivido.

Es cierto que el GDPR recoge en sus artículos la posibilidad de certificarse tanto en cumplimiento del Reglamento, como en Delegado de Protección de Datos. Pero las certificaciones no son en ningún caso obligatorias.

Siempre he dicho y seguiré diciendo que las certificaciones son una tomadura de pelo y una estafa. Pagas (y no poco) por conseguir un sello. Y encima, sigues pagando por renovarlo periódicamente.

Así también me certifico yo. En Máster del Universo Experto en Protección de Patos, por ejemplo.

O de datos.

O de gatos.

O de lo que se tercie.

Protección de Patos

Derechos ARCO en el RGPD

Derechos ARCO

Hace unos días, publicaba la Agencia Española de Protección de Datos en su web una reseña sobre los derechos de los ciudadanos en materia de protección de datos, haciendo énfasis y recordando que el Reglamento General de Protección de Datos europeo refuerza dichos derechos, lo que inevitablemente ha de ser tenido en cuenta por los responsables de fichero en su actividad diaria.

Estos son los puntos que se destacan:

1º. Además de los ya conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), el Reglamento añade los derechos de portabilidad, supresión y limitación.

2º. Una vez más se recuerda que el Reglamento cambia el modo en que las organizaciones gestionan la protección de datos, siendo ahora necesaria la adopción de medidas conscientes, diligentes y proactivas.

3º. La Agencia Española de Protección de Datos pone de manifiesto que ha publicado una infografía específica sobre estos derechos, que se puede leer en el siguiente enlace:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/RGPD_Derechos_ciudadanos_AEPD.pdf

4º. El derecho de portabilidad consiste en la posibilidad de alguien que haya proporcionado sus datos a un proveedor de servicios, pueda pedir la recuperación y traslado de esos datos a otra plataforma cuando sea técnicamente posible.

5º. El derecho de supresión vendría a sustituir al actual derecho de cancelación.

6º. El citado Reglamento refuerza no sólo los derechos ejercitables antes empresas de la Unión Europea, sino también ante las ubicadas fuera de la Unión.

7º. La forma de ejercitar estos derechos será, primero, dirigir una petición a la entidad que trate los datos (la AEPD cuenta en su web con formularios para ello). Y si dicha entidad no contesta o la respuesta no se considera satisfactoria, el ciudadano ya sí podrá acudir a la AEPD y formular reclamación.

8º. Por último, la AEPD recuerda que ha lanzado un espacio web con consejos sobre cómo evitar la publicidad no deseada y otro para ayudar a reclamar sus derechos en materia de telecomunicaciones. Se pueden consultar aquí:

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/Publicidad_no_deseada/index-ides-idphp.php

http://www.agpd.es/portalwebAGPD/CanalDelCiudadano/reclamaciones_telecomunicaciones/index-ides-idphp.php

También se deja de manifiesto la existencia de un sistema voluntario de mediación al que se han adherido las principales empresas de telecomunicaciones, con el objetivo de resolver de forma ágil las reclamaciones sobre protección de datos.