Para poder aplicar correctamente el Reglamento General de Protección de Datos europeo, empresas y profesionales van a tener que dedicar algún tiempo a la reflexión, y al análisis de su situación en lo que a alcance, riesgos y medidas de seguridad sobre protección de datos se refiere.
En algunos casos bastará con un análisis genérico y somero (del que debería dejarse al menos alguna constancia escrita), y en otros habrá que llegar a conceptos más formales como la Evaluación de Impacto prevista en el artículo 35 del Reglamento citado.
La herramienta es gratuita y de uso y acceso muy simples.
Sirve para supuestos de tratamiento de bajo riesgo (datos de client es, proveedores, trabajdores…) y por tanto no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otros.
¿Qué proporciona además de una orientación para saber si tenemos que realizar un análisis de riesgo o no? Pues una vez determinado que no se necesita ese análisis de riesgo, FACILITA (tras introducir los datos del profesional o entidad), elabora los siguientes documentos que se exigen por el Reglamento Europeo:
1º. Cláusulas informativas y textos (que se han de firmar por trabajadores, clientes, contactos, prestadores de servicio, etc…).
2º. Registro de actividades de tratamiento.
3º. Un anexo con medidas de seguridad orientativas consideradas mínimas.
En algunos casos, la documentación emitida será más que suficiente. En otros, no.
Por ello, la herramienta pretende ser orientativa, pero no significa que su uso nos garantice el cumplimiento de la legislación al 100%.
Como sabemos, el RD 1720/2007, de 21 de diciembre (Reglamento de desarrollo de la LOPD), regula un número significativo de medidas técnicas de seguridad que los responsables de fichero han de poner en práctica para hacer efectivo el Derecho a la protección de datos de carácter personal. A nadie se le escapa que dicho Derecho quedaría en nada si no viniera respaldado por un mínimo de seguridad.
Como no podía ser de otra forma, al legislador europeo también le ha preocupado especialmente este tema. Así, en el considerando 78 del nuevo Reglamento Europeo se indica que es necesaria la adopción de medidas técnicas y organizativas que garanticen el cumplimiento de los requisitos del propio Reglamento. Se hace una relación de qué tipo de medidas pueden ser estas; a saber:
Reducir al máximo el tratamiento de datos personales.
Seudonimizar lo antes posible los datos personales.
Dar transparencia a las funciones y el tratamiento de datos personales.
El considerando 81 incide, por otro lado, en la necesidad de que el responsable de fichero que contrata a un encargado de tratamiento, recurra únicamente a encargados que ofrezcan suficientes garantías (conocimientos especializados, fiabilidad, y recursos de cara a la aplicación de medidas técnicas y organizativas propias del reglamento, entre ellas, la seguridad, por supuesto).
Además, la relación con este encargado de tratamiento (como ya dispone nuestro artículo 12 LOPD), debe constar en un contrato escrito con un contenido definido por la norma.
Por tanto, hay que ser muy cautelosos a la hora de contratar a un prestador de servicios que vaya a tratar datos de nuestros clientes (por ejemplo: un asesor fiscal), y elegir a aquellos que cumplan la normativa de protección de datos.
En el considerando 83, nos dice el Reglamento Europeo que el responsable de ficheros debe evaluar los riesgos propios del tratamiento y aplicar medidas para mitigarlos, como el cifrado, y el 85, se impone la obligación de notificar –en un plazo de 72 horas- a la autoridad de control competente las violaciones se seguridad que puedan producirse (también se habrá de notificar al propio perjudicado).
Por su parte el considerando 90 establece que en determinados casos, los responsables de fichero tendrán que realizar una evaluación de impacto sobre protección de datos para valorar la particular gravedad y probabilidad del alto riesgo.
Como os adelanté en mi entrada de fecha 30 de marzo, la Agencia Española de Protección de Datos, ya ha publicado de forma definitiva su GUÍA PARA UNA EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS PERSONALES, cuyo texto íntegro podréis descargaros en este enlace de la web de la referida Agencia:
Recordemos que la Evaluación de Impacto no es obligatoria por ahora según la normativa española. Aunque también es cierto que es muy probable que lo sea en el futuro, pues la propuesta de Reglamento Europeo de Protección de Datos así lo recoge.
La Guía, de 71 páginas, incluye modelos para llevar a cabo la evaluación y el detalle del procedimiento a seguir.
El Anexo I de la Guía recoge un cuestionario muy completo dirigido a determinar si en un determinado producto o servicio, se han tenido en cuenta todos los aspectos de la normativa de protección de datos de carácter personal.
Una vez realizada la Evaluación, se emitirá un informe escrito que al menos deberá incluir:
––Identificación del proyecto, persona o personas responsables de la EIPD y sus datos de contacto, la fecha de realización del informe y su número de versión.
––Resumen del informe con indicación de los resultados.
––Introducción y descripción general del proceso de evaluación.
––Resultado del análisis de necesidad de la evaluación y su justificación.
––Descripción general del proyecto.
––Descripción detallada de los flujos de datos personales.
––Riesgos identificados.
––Identificación de partes interesadas o a las que afecta el proyecto, tanto internas como externas a la organización, y resultados de las consultas llevadas a cabo con éstas.
––Análisis de cumplimiento normativo y detalle de posibles deficiencias detectadas y propuestas para su solución.
––Recomendaciones del equipo de la EIPD y medidas adoptadas o que deben adoptarse para eliminar o evitar, mitigar, transferir o aceptar los riesgos para la privacidad.
En el capítulo 6 de la Guía, se incluye un «catálogo de riesgos» cuya existencia deberá ser comprobada en relación con el producto o servicio que se quiera poner en marcha.
