¿Cómo me adapto al RGPD?

Adaptarse al RGPD

Si el mes pasado hablábamos de que la Agencia Española de Protección de Datos había publicado una guía u hoja de ruta para que las Administraciones públicas pudieran dar los pasos oportunos para adaptarse al Reglamento General de Protección de Datos europeo (RGPD), este mes tenemos que hablar de la misma guía, pero para el sector privado (empresas y profesionales y otras entidades privadas), igualmente publicada por la Agencia en su web.

Si eres por tanto un profesional autónomo, asociación privada, fundación privada o empresario, te interesa esta información, y debes tener en cuenta que la nueva normativa se aplicará plenamente desde el 25 de mayo de 2018.

La breve guía se puede consultar en este enlace oficial:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/infografias/Adaptacion_RGPD_sector_privado.pdf

Estos son los pasos a seguir:

1º. Nombramiento de un Delegado de Protección de Datos. Ojo, que no todos los profesionales, entidades o empresas tienen que designarlo. Sólo procede en los casos que indica la normativa. Como siempre que aparece una legislación nueva (o no tan nueva) empiezan a circular infinidad de bulos y datos erróneos. Este es uno de ellos. Son muchas las personas que me llaman preocupadas porque les han asegurado que tienen que designar un Delegado de protección de datos. En la mayoría de los casos eso es totalmente incorrecto.

2º. Redactar el Registro de Actividades de Tratamiento. No lo aclara la Agencia, pero se hará cuando la Ley lo exija. También aquí hay excepciones en el RGPD.

3º. Realizar un análisis de riesgos: este sí que lo tienen que hacer todos los responsables de tratamiento y encargados de tratamiento. Pero también es cierto que en unos casos será un trámite muy sencillo y en otros, será más complicado.

4º. Revisión de medidas de seguridad destinadas a la protección de los datos de carácter personal, teniendo en cuenta el análisis de riesgos anterior.

5º. Crear mecanismos y procedimientos para la notificación de las violaciones de seguridad de los datos de carácter personal.

6º. Elaborar un informe de Evaluación de Impacto cuando proceda (ni mucho menos es aplicable a todos los responsables y encargados de tratamiento).

7º. Modificar las cláusulas informativas que se puedan firmar con clientes, que pueda haber en las webs y en otros supuestos.

8º. Adaptar mecanismos y procedimientos para facilitar el ejercicio de los derechos de los ciudadanos (acceso, rectificación, supresión, oposición, etc…).

9º. Revisar y actualizar los contratos de encargados de tratamiento y verificar si estos últimos cumplen las exigencias del RGPD.

10º. Revisar la política de privacidad de la entidad en general.

11º. Por último, se insiste en la importancia de dejar documentada la realización de todo lo anterior.