Entradas

Lo que toda startup y/o pyme tiene que saber sobre protección de datos personales

Si estás montando tu propio negocio, esto es lo que tienes que saber sobre protección de los datos personales que manejes. Abstenerse profesionales de la lectura (ya os lo sabéis de sobra)

 

Cuando uno inicia su propia actividad profesional o empresarial, la lista de asuntos a resolver y/o tener en cuenta es larga. Vamos, que casi se te quitan las ganas de seguir.

¿Constituyo una sociedad o mejor opero como autónomo? ¿y si somos varios? ¿cómo gestiono un pacto de socios?

¿Qué régimen adopto con la Seguridad Social? ¿Trabajador por cuenta ajena, Administrador, autónomo?

Leyes fiscales, societarias, administrativas, civiles…. Y un largo etcétera de aspectos legales que toda “start-up” tiene que cumplir.

La protección de datos no se puede quedar atrás. Desde el mismo momento que comenzamos a confeccionar nuestra lista de contactos comerciales la protección de datos importa. Y mucho.

¿Qué es lo mínimo que debe saber alguien que se lanza a esto del emprendimiento?

1.- Toda gestión que conlleve datos personales (clientes, potenciales clientes, proveedores, trabajadores, usuarios, contactos, …) está sometida al cumplimiento del Reglamento UE 2016/679 General de Protección de Datos (el RGPD ¿te suena?) y la Ley Orgánica 3/2018 de Protección de Datos Personales y de garantía de derechos digitales (LOPDGDD). Estás obligado a cumplir. Que lo sepas.

2.- Ya que tienes que cumplir lo primero que tienes que saber es que lo que tienes (tengo clientes, contactos y proveedores por ejemplo).

Y lo que tienes o estás a punto de tener lo tienes que reflejar en un registro: es lo que conocemos como el Registro de Actividades de Tratamiento, un documento “vivo” que debe contener el tipo de datos que recoges, para qué son esos datos, con quién los compartes, cuánto tiempo los guardas, si basas el tratamiento en el consentimiento o en otras bases de legitimación (p.e. ejecución de contrato, obligación legal,…) etc, etc. Para confeccionar este registro has tenido que reflexionar sobre estas cosas que a veces no se tienen claras (por ejemplo, en las relaciones laborales el tratamiento de datos no se basa en el consentimiento del trabajador sino en la ejecución de la relación laboral). Todo esto lo dice el artículo 30 del RGPD.

¿Te lo pueden pedir? Sí ¿Quiénes? Pues de entrada la Agencia Española de Protección de Datos si hay una denuncia y también un cliente que quiera saber cómo tienes esto de la protección de datos, sobre todo cuando estás gestionando datos de sus propios clientes, trabajadores, etc.

No cometas ese error de pensar que porque eres pequeño, estás empezando, etc, nadie (ni la Agencia Española de Protección de Datos) se va a fijar en ti. De esto no se libra nadie. Si lo haces mal te pueden denunciar y te sancionan (o al menos te pegan un susto). Pero como quieres hacer las cosas bien, no te pesa la amenaza de multa sino el deber de cumplir y garantizar la privacidad…

3.- Ya sabes los datos que estás manejando o vas a manejar ¿Qué más? Pues tienes que informar siempre que recojas datos: utilizarás propuestas comerciales, presupuestos, formularios, emails, cualquier fórmula para que tu nuevo cliente (tu tesoroooo) te facilite la información mínima para trabajar. Si estás en el mundo online lo pedirás vía formulario, pero cualquier vía será bienvenida.

¿Y de qué hay que informar? Pues de quién es el Responsable del tratamiento (serás tú si eres autónomo o tu sociedad si la has constituido), lo que vas a hacer con los datos, en qué te basas para hacer tratamiento de datos, cuánto tiempo los conservarás, si los vas a compartir con alguien, donde se puede dirigir el titular del dato para pedir sus derechos o dónde puede reclamar. Se trata de ser muy muy transparente.

Ojito con el corta-pega. Además de cometer una ilegalidad -infracción de derechos de propiedad intelectual- puedes estar copiando malamente (tra tra) y por ello no cumplir adecuadamente ese deber de informar.

4.- ¿Derechos de los titulares de los datos (también llamados “interesados”)?

Son la materialización del derecho a la protección de datos y son los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad. Si un usuario te los pide tienes que contestar en el plazo de un mes y para ello tendrás que habilitar un medio de contacto fácil. Para tenerlo claro como hacerlo y no meter la pata, lo mejor es tener un procedimiento de gestión de esos derechos para que tengas claro cómo actuar en cada caso y según cada derecho.

 

5.- Medidas de seguridad: si vas a gestionar datos personales, la seguridad es imprescindible. No hace falta que conviertas tu actividad en el Pentágono, pero tienes que dotarte de medidas que protejan la información. Cosas tan sencillas como trabajar con software original y actualizado, protegerse con antivirus, firewalls, utilizar VPNs, hacer copia de seguridad, cambiar las contraseñas (y evitar el 1234567) restringir los accesos, cifrar la información etc. están al alcance de cualquiera. De esto hay mucha información en el INCIBE que hace videos muy chulos y aconseja bien. Puedes empezar con el  Kit de concienciación | INCIBE

 

6.- No tengo presupuesto para ciberseguridad y esas cosas.

Ningún emprendedor es Rockefeller, tranquilo. Según el RGPD la seguridad debe enfocarse siempre “desde el riesgo” lo que significa que debes analizar los riesgos que tiene tu actividad (no es lo mismo montar una web para vender ropa que una clínica estética donde seguramente vas a manejar hasta datos de salud, ni es lo mismo trabajar básicamente con empresas que por ejemplo con datos sensibles de personas “vip”). Por eso hay que hacer un análisis de riesgos. Y a veces incluso una «Evaluación de Impacto» que es algo parecido sobre todo cuando se pone en marcha un nuevo tratamiento de datos que pueda implicar un alto riesgo.

¿Y cómo se hace esto? Aquí te doy algunas indicaciones, pero la Agencia Española de Protección de Datos que ha hecho una labor de divulgación admirable cuenta con herramientas y guías que te pueden ayudar.

Lo importante es que identifiques tus riesgos y los gestiones para que sepas dónde estás y a lo que tienes que dar prioridad. Por ejemplo: si has desarrollado una app, dale prioridad a la ciberseguridad pues tus vulnerabilidades te pueden venir por ejemplo de una mala configuración, del uso de otras herramientas no seguras o por ejemplo del entorno en el que desarrollas la app.

También tendrás que informar y pedir consentimientos ¿Cómo se gestiona el riesgo? Pues puedes afrontarlo y mitigarlo, puedes asumirlo y no hacer nada (y te la juegas) o también puedes derivarlo (a ver a quién le encasquetas el tema porque no hay compañía de seguros que te cubra un entorno inseguro, ojo con este tipo de pólizas que te piden que garantices que tienes un buen nivel de seguridad y cumplimiento).

No pierdas de vista el llamado «Kit Digital» que te permitirá solicitar ayudas para, entre otras cuestiones, la seguridad de tu nuevo negocio. Más info: Kit Digital | Acelera pyme

7.- ¿Y si la seguridad falla?

Puede pasar. Ya sabes que no hay ninguna medida de seguridad infalible pero si tienes un problema de seguridad que afecte a datos personales, tienes la obligación de ponerlo en conocimiento de la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Aunque hay matices y puede ser que el fallo de seguridad esté limitado, que sepas que esta es una de las obligaciones que te exige la ley. Y por supuesto tendrás que gestionar la incidencia para contener sus efectos y adoptar medidas para que no se vuelva a repetir.

8.- Tus relaciones con terceros sobre todo si acceden a los datos que tú manejas

Es posible que seas “Juan Palomo” y te lo hagas todo tú, pero serías casi una excepción.

Desde una gestoría hasta un software de gestión o un hosting o incluso una plataforma de trabajo, implica que hay terceros que pueden acceder a los datos personales que gestionas y que son de tu responsabilidad. Incluso es posible que quien te haya hecho la web tenga acceso a los datos de tus formularios de contacto. Todos ellos son “encargados de tratamiento”, es decir terceros que te prestan un servicio y para ello tienen que acceder a datos que tu gestionas.

Es imprescindible elegir bien (a veces lo barato sale caro), a ser posible que estén en la Unión Europea o en países con un nivel de seguridad equivalente (y te ahorras los quebraderos de cabeza de las transferencias internacionales). Y esta relación tendrá que estar formalizada en un contrato (el contrato de tratamiento de datos, «Data Processing Agreement», contrato de encargo de tratamiento etc). Imprescindible el contrato: y esto es binario: o lo tienes o no lo tienes. Si tu proveedor mete la pata, el responsable eres tú (o tu empresa) por lo que en el contrato debe constar que tu proveedor también cumple con el RGPD.

9.- Pensar en privacidad

Cuando no se tiene “cultura de la privacidad” todo esto provoca “agujetas”. Con el tiempo es muy gratificante ver como cuando alguien inicia un nuevo proyecto, una nueva web o una actividad que implique recoger y tratar datos se plantea desde el minuto uno, que la privacidad importa (es lo que conocemos como “privacidad desde el diseño y por defecto”) y de esta forma se incorpora el cumplimiento al desarrollo y todo es mucho más sencillo.

Cumplir con los principios establecidos en el RGPD: responsabilidad proactiva, minimización, limitación de la finalidad, limitación de la conservación de los datos, exactitud, etc es una tarea que debe ir calando en tu forma de trabajar. Teniéndolo claro y casi sin darte cuenta, habrás incorporado la privacidad al ADN de tu actividad.

No te olvides de formar a tu equipo: a todo el mundo le suena esto de la protección de datos pero es frecuente que no se conozcan bien las implicaciones que en un día a día de una empresa tiene la privacidad.

 

10.- Déjate asesorar

Y si todo lo anterior te parece un rollo patatero, muy complejo o directamente no tienes tiempo para profundizar en exceso (la página web de la Agencia Española de Protección de Datos te ofrece cantidad de recursos, guías y herramientas), contrata a alguien que te lo cuente y que te asesore.

Al final vas a tener que cambiar algunos hábitos o estar pendiente de algunas cosas pero tener a un asesor que te oriente y a quien puedas preguntar, siempre te dará tranquilidad. Al fin y al cabo para eso estamos ¿no?

Desconfía de los que te ofrecen asesorarte gratuitamente a cambio de formación (es un fraude: una cosa es el asesoramiento y otra la formación), de los que no te dedican “horas” para escucharte, entender tu negocio y darte consejos a medida. Esto no son matemáticas, no lo sabemos todo y a veces nos lo tenemos que estudiar o incluso entre los profesionales tenemos criterios distintos.

Al fin y al cabo se trata de que vayas por el camino del buen cumplimiento y que cualquier cosa que decidas hacer con los datos personales esté fundamentada y sea legal.

Y hasta aquí los “must have” de la privacidad. ¿A que no es para tanto?

Si tienes dudas, consúltanos.

#losdetallesimportan

Paz Martin

 

Las cookies, el consentimiento y las multas que vienen: si no quieres cookies, no te las comas

O de cómo el RGPD llegó también a las cookies

Desde que entró en funcionamiento el Reglamento General de Protección de Datos (RGPD o GDPR) cualquier recogida de datos personales exige un por qué «legítimo».

Las cookies, además de ser esas galletitas adorables que se comen, son también un medio para recoger datos personales durante la navegación por Internet. Algunas cookies sirven para que no tengamos que elegir idioma cada vez que entramos a una web, por ejemplo. Pero otras, tienen como misión acompañarnos en nuestra navegación y perfilar nuestras preferencias; ahora visitas un periódico, ahora haces la compra, ahora te metes en los deportes, ahora buscas un viaje… Es una forma, bastante eficaz, de conocer los hábitos y preferencias de los usuarios. Pero claro, si de esa monitorización no nos enteramos, parece que la cosa no se está haciendo bien.

¿Por qué? Porque según establece la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) se pueden instalar cookies pero «a condición de que los destinatarios hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular sobre los fines del tratamiento de los datos«.

Ese consentimiento, con el RGPD, ha de ser expreso. Es más debe darse opción a los usuarios para que se opongan a la instalación de las mismas. Es decir, si no quieres cookies, «no te las comas».

La Agencia Española de Protección de Datos está trabajando en una nueva guía de cookies que sustituirá a la anterior. En ella probablemente nos aclararán qué fórmulas de consentimiento son aceptables y cuáles no, cómo rechazar las cookies y cómo configurarlas. Se había anunciado para este verano pero parece que se ha retrasado un poco.

No obstante, se acaba de dictar la primera resolución tras un procedimiento sancionador (PS/00300/2019) que impone una multa de 24000 euros a la compañía VUELING AIRLINES, S.L. . La sanción viene por no dar la opción de oponerse a la instalación de cookies al usuario más allá de remitirle a la configuración de los navegadores para que las bloqueen.

La AEPD afirma: «no se facilita un sistema de gestión o panel de configuración de cookies que permita al usuario eliminarlas de forma granular. Para facilitar esta selección el panel podrá habilitar un mecanismo o botón para rechazar todas las cookies, otro para habilitar todas las cookies o hacerlo de forma granular para poder administrar preferencias. A este respecto se considera que la información ofrecida sobre las herramientas proporcionadas por varios navegadores para configurar las cookies sería complementaria a la anterior, pero insuficiente para el fin pretendido de permitir configurar las preferencias en forma granular o selectiva

Es decir que la propia AEPD ya nos está diciendo cómo configurar las cookies:

1.- Consentimiento explícito (como no podía ser de otra forma) con posibilidad de aceptar todas o rechazar todas las cookies.

2.- Consentimiento granular: es decir que sea posible elegir unas sí y otras no (a lo mejor no me importa que se hagan estadísticas de mi navegación pero sí me importa que me inserten cookies de terceros con fines comerciales)

3.- Información y transparencia: informar siempre y dejar claro qué cookies hay y que sea el usuario el que pueda elegir.

Abro aquí un paréntesis: puesto que «Internet somos todos», yo siempre pienso, no ya en los que nos dedicamos a esto, sino en los usuarios que todavía no saben para qué sirven las cookies (que son muchos, ojo). Si hasta la fecha creo que no he conocido a nadie (salvo insisto, los del gremio) que no le dé al «seguir navegando» o «aceptar cookies» sin leer ni una línea, me pregunto cómo explicarles, claramente, qué cookies hay, cuáles son necesarias y cuáles no, cuáles son de terceros y para qué sirven para que, con toda la información puedan aceptarlas o rechazarlas. Más de uno, ante un «pop up» amenazador con tres o cuatro botones saldrá de la página y dirá «quita, quita que me ha salido una cosa muy rara». Una vez más, habrá que ir educando al consumidor.

Hasta la fecha, todas las denuncias sobre el tema habían dado lugar a un «apercibimiento» como mucho por parte de la Agencia Española de Protección de Datos; algo así como un tirón de orejas con propósito de enmienda. Parece que la racha ha terminado y toca ponerse las pilas.

Entre la esperada guía, las sanciones y estas pautas (además de lo que han ido marcando otras autoridades de control de otros países) ya no tenemos excusa para ponernos manos a la obra…

Así que, si no quieres cookies… no te las comas.

Paz Martin

11 de octubre de 2019

#losdetallesimportan

EL RGPD en Portugal: LEGAL THINGS participa con una ponencia en una jornada organizada por LCG

El Reglamento UE 2016/679 General de Protección de Datos (RGPD) es de directa aplicación en todos los estados miembros de la Unión Europea.

No todos los estados contaban con el mismo nivel de madurez en el cumplimiento de la normativa de protección de datos. Sin embargo, el RGPD ha obligado a todos los países a coger el mismo ritmo. O al menos a intentarlo.

Portugal no ha sido, hasta la fecha, uno de los estados punteros en cumplimiento pero el RGPD está obligando a que grandes y pequeñas empresas se adapten. También las propias autoridades están realizando un enorme esfuerzo por ofrecer soluciones y estructuras acordes con el RGPD.

En este marco, el pasado verano, nuestro despacho fue invitado por nuestros colegas portugueses especialistas en protección de datos LCG . Tuvimos la oportunidad de compartir con un nutrido auditorio nuestra experiencia y visión de cumplimiento como país vecino. Intentamos transmitir todo lo que se ha hecho y todo lo que se está haciendo y se va a hacer para que el cumplimiento del RGPD sea una realidad a todos los niveles. La jornada titulada «Desafios na Implementaçao do RGPD» contó con expertos nacionales de la empresa, la Universidad y de la propia Administración para abordar precisamente los desafíos que la nueva legislación nos ha planteado a todos los ciudadanos de la Unión Europea.

Particularmente nos llamó la atención el hecho de que exista una gran diferencia de cumplimiento entre las grandes compañías y corporaciones y las pymes y los profesionales. Estos últimos tendrán que hacer un doble esfuerzo: reflexionar sobre la privacidad y cumplir con el nuevo RGPD en Portugal. La Autoridad de Control de Protección de Datos en Portugal (Comissão Nacional de Protecção de Dados), ya está trabajando en acercar el RGPD a estos colectivos.

Evidentemente ya ha habilitado los canales obligatorios de notificar tanto los Delegados de Protección de Datos como las violaciones de seguridad.

 

Octubre 2018

 

LEGAL THINGS ABOGADOS imparte formación sobre el RGPD en la Cámara de Comercio de Torrelavega

Seguimos con nuestra apuesta por acercar el RGPD y la protección de datos a las empresas y profesionales explicando y «aterrizando» los conceptos para hacer posible su aplicación práctica

La nueva legislación de protección de datos –RGPD– necesita ser explicada y acercada a las empresas y profesionales que tratan datos personales.

El Reglamento UE 2016/679 General de Protección de Datos o RGPD entró en pleno funcionamiento el pasado 25 de mayo de 2018. Todos los que manejen datos de carácter personal están obligados a cumplirlo.

LEGAL THINGS ABOGADOS ha sido invitado  como despacho especializado, a impartir formación práctica sobre el RGPD en la Cámara de Comercio de Torrelavega en colaboración con SODERCAN.

Con un importante éxito de asistencia y presentada por el Director de la Cámara, durante una mañana nuestra Directora Paz Martín ha expuesto las nuevas obligaciones, los nuevos principios y los derechos que la nueva normativa (el RGPD) conlleva.

Los asistentes han actuado de forma participativa y muy interesados por la materia y se han repasado los aspectos más importantes que afectan sobre todo a empresas y profesionales de Torrelavega:

  • La nueva cultura de la privacidad y de la protección de la información.
  • La importancia de abordar la protección de los datos desde una perspectiva global: jurídica, técnica y organizativa.
  • La necesidad de involucrar a todas las áreas de negocio que manejen datos.
  • La formación del personal.
  • El enfoque desde el riesgo en la adopción de medidas de seguridad.
  • La transparencia en la información.

Estas iniciativas ponen de manifiesto el interés de la empresa cántabra en el cumplimiento y la importancia de acercan normas de esta envergadura al día a día de las actividades de las empresas.

Exponemos el programa y recordamos a nuestros seguidores que la formación a los empleados es una obligación que cualquier sistema de seguridad de la información establece para que el cumplimiento sea real y efectivo:

1.- Introducción a la protección de datos

  • El porqué de una nueva legislación.
  • Diferencias con la normativa anterior.
  • Conceptos básicos

2.- El nuevo Reglamento General de Protección de Datos

  • Principios
  • Derechos
  • Obligaciones

3.- Las obligaciones que todo empresario tiene en materia de protección de datos

  • Registro de actividades de tratamiento
  • Cómo atender los derechos
  • Deber de Información
  • Consentimientos y bases jurídicas de los tratamientos
  • Análisis de riesgos y evaluación de impacto
  • Relaciones con terceros
  • Brechas de seguridad
  • Qué es un Delegado de Protección de Datos

4.- Herramientas y concienciación en materia de seguridad

  • Medidas de seguridad
  • Situaciones de riesgo
  • Qué hacer si…
  • Herramientas, guías y referencias

 

Septiembre de 2018

 

Las siete cosas que toda pyme debe hacer para cumplir con el nuevo Reglamento de Protección de Datos (RGPD)

Quedan justo tres meses para que el Reglamento UE 2016/679 General de Protección de Datos (RGPD) entre en pleno funcionamiento. El 25 de mayo culmina el proceso que comenzó hace unos años… y también comienza todo: un nuevo cumplimiento, un nuevo enfoque en la privacidad, un nuevo reto para las empresas cualquiera que sea su tamaño.

Las estadísticas dicen que la mayoría de las empresas todavía no han hecho nada al respecto, ni tan siquiera pensar sobre ello. Muchas por desconocimiento, otras porque creen que el RGPD no les afecta y otras muchas porque necesitan todavía ese «tiempo emocional» para asumir que nos encontramos ante un importante cambio, sobre todo, de mentalidad.

Pero elucubraciones aparte, hay siete cosas que sí o sí toda pyme debe hacer sin mucha dilación, aquí las resumimos. Vaya por delante que las obligaciones no son iguales para todos pues el enfoque del RGPD se basa en el riesgo y desde luego no debe abordarse igual una pequeña compañía B2B que una pyme que realiza análisis de perfiles o que trata con datos de salud (ahora incluidas en las llamadas «categorías especiales de datos»). No vamos a describir todas las obligaciones del RGPD pero sí las fundamentales y comunes a prácticamente todas las compañías:

1.- Confeccionar un registro de actividades de tratamiento. El registro se convierte en el verdadero manual interno de los tratamientos de la empresa: debe incluir la descripción de los tratamientos, los fines, los destinatarios, los plazos de supresión y las medidas técnicas y organizativas… ¿no nos recuerda mucho al hasta ahora obligatorio Documento de Seguridad? Lo de menos es cómo lo llamemos, lo importante es tener recogida esta información y todavía más importante, cumplir su contenido.

2.- Crear los procedimientos para satisfacer los nuevos derechos (portabilidad y limitación) además de los ya existentes de acceso, rectificación, oposición y supresión.

3.- Crear un procedimiento de detección y notificación de brechas de seguridad pues ahora las brechas deberán comunicarse a la Agencia Española de Protección de Datos.

4.- Revisar la base que legitima el tratamiento de los datos: en unos casos será el consentimiento (eso sí explícito y por finalidades), en otras la ejecución de un contrato, en otras el cumplimiento de una obligación legal y en otras, el interés legítimo. Habrá que tener claro cada caso.

5.- Actualizar las cláusulas de información a la hora de recoger datos: ahora hay que informar de más cosas. Tan sencillo como modificarlas.

6.- Actualizar los contratos de encargo de tratamiento pues ya no nos podemos despachar con aquellas sencillas cláusulas del artículo 12 de la LOPD… Ahora toca describir las actividades de tratamiento que encargamos al tercero y las medidas que le exigimos…

7.- Reflexionar sobre si necesitamos un Delegado de Protección de Datos (DPO) o es aconsejable o si simplemente es suficiente con tener un responsable que supervise el cumplimiento de la privacidad.

No olvidemos que el principio que destila todo el Reglamento es el de «accountability», responsabilidad proactiva. Debemos hacer las cosas bien, ser capaces de demostrarlo y buscar la mejora continua en las cuestiones de privacidad.

Siete puntos que si mínimamente se abordan, se puede decir que empezamos a alinearnos con el RGPD… Pero ojo, hay otras cuestiones: evaluaciones de impacto, procedimientos transfronterizos… Seguiremos abordándolas. De momento, manos a la obra. Aquí estamos los profesionales para ayudar en este «tránsito».

25 de febrero de 2018
Paz Martín

Día Europeo de la Protección de Datos: Quedan 117 días para el RGPD ¿Está preparado para el cambio?

Ahora sí que sí. Este es el año. Y este día nos tiene que servir para reflexionar sobre qué estamos haciendo en nuestras organizaciones para cumplir con la nueva legislación de protección de datos: el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD).

Hoy 28 de enero es un día especialmente importante porque en este año asistimos a un cambio normativo sin precedentes en la regulación de la privacidad. Todos, empresas y ciudadanos, debemos conocer su alcance.
La Agencia Española de Protección de Datos ha sido fértil en los últimos meses en la publicación de guías y documentos de ayuda. Con motivo de este día ha preparado, entre otras cosas, una infografía que resume los derechos de los ciudadanos.

Pero ¿y las empresas? ¿saben ya el alcance de las nuevas obligaciones? Recordemos sucintamente algunas de las obligaciones que toda entidad que realice tratamiento debe cumplir:

1.- El registro de actividades de tratamiento: ¿sabemos los datos que tratamos y cómo los tratamos? El RGPD obliga a llevar un registro de actividades de tratamiento con una información mínima.
2.- El cumplimiento del principio de responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que se preocupan de los datos que tratan. No es suficiente un cumplimiento formal: hay que demostrarlo día a día.
3.- La revisión de los consentimientos y de las cláusulas de información: los consentimientos por silencio o por defecto ya no son válidos. Ahora tienen que ser específicos para finalidades concretas. Además, ahora hay que informar de algunos nuevos aspectos del tratamiento. Esto exige una revisión de las cláusulas de información y de las formas de recogida de los consentimientos.
4.- La revisión de las relaciones y contratos con terceros con acceso a datos. La elección de un encargado de tratamiento es, en sí misma, una responsabilidad pues debe reunir unas condiciones mínimas y recogerlas en un contrato. Más que nunca debe revisarse y actualizarse la relación de encargados de tratamiento de las organizaciones.
5.- La realización de análisis de riesgos. El nuevo RGPD se enfoca sobre la base del riesgo de los tratamientos y si bien y según la propia Agencia Española de Protección de Datos, el 75% de las empresas españolas tienen datos de riesgo bajo, éstas tienen que ser conscientes de cuáles pueden ser sus riesgos a la hora de tratar datos (y por cierto, aquí el tamaño no importa sino la categoría de los datos y sus «circunstancias»).
6.- La creación de procedimientos para la notificación de brechas de seguridad. Si la organización sufre una «brecha de seguridad» habrá que notificarla a la Agencia Española de Protección de Datos a las 72 horas de haber tenido conocimiento. Esto exige crear un procedimiento de detección e identificación de las incidencias así como su gestión y comunicación y por supuesto, subsanación.
7.- La satisfacción de los nuevos derechos: limitación y portabilidad (además de los ya existentes). Nuevos derechos cuya petición debe atenderse. ¿Saben las empresas cómo? Tendrán que tenerlo previsto.
8.- La designación de un Delegado de Protección de Datos en los casos que establece el RGPD. No en todos los casos pero sí habrá organizaciones que lo necesiten y a ser posible acreditado.

¿Están las empresas grandes y pequeñas preparadas? Parece que no. Y quedan cuatro meses escasos…

Aunque suene a tópico las multas son muy elevadas (20 millones de euros o el 4% de la facturación mundial en los casos más graves). La propia Agencia Española de Protección de Datos ha afirmado que las nuevas exigencias se «aplicarán con flexibilidad pero con rigor» y es que el 25 de mayo está a la vuelta de la esquina. Ojo, no se trata de «empezar» el 25 de mayo sino que en esa fecha ya se debería estar cumpliendo… No hay régimen transitorio pues desde que se publicó el RGPD (en 2016) hemos tenido dos años para concienciarnos, sensibilizarnos y preparar nuestras organizaciones.

Ya no hay excusas: si hasta ahora en su organización no se ha afrontado el cambio, es necesario abordarlo. Recordemos que el derecho a la privacidad es un derecho fundamental y si cada de uno de nosotros reflexiona a título personal coincidiremos que en estos tiempos que corren agradeceremos que nuestros datos estén un poco más seguros.

Paz Martín

Legal Things Abogados

28 de enero de 2018

Día Europeo de la Protección de Datos