Entradas

El Reglamento General de Protección de Datos (RGPD) y los despachos de abogados. 6 de abril. ICAM

LEGAL THINGS ABOGADOS tiene el honor de participar en el evento de APROED (Abogados y ciudadanos pro Estado de Derecho) que tendrá lugar el próximo 6 de abril en el Salón de Actos del Ilustre Coelgio de Abogados de Madrid y que tiene como objetivo abordar las novedades del nuevo Reglamento UE 2016/679 General de Protección de Datos, RGPD en los despachos de abogados. La entrada será gratuita.

Nuestra Directora Paz Martin expondrá los retos a los que se enfrentan los grandes despachos con especial atención en la figura del Delegado de Protección de Datos.

Compartirá mesa con los reputados especialistas D. Carlos Galán y D. Angel Juárez en una jornada de actualidad por la inminencia en la entrada en vigor de la nueva legislación sobre protección de datos.

Abril 2018
#losdetallesimportan

Las siete cosas que toda pyme debe hacer para cumplir con el nuevo Reglamento de Protección de Datos (RGPD)

Quedan justo tres meses para que el Reglamento UE 2016/679 General de Protección de Datos (RGPD) entre en pleno funcionamiento. El 25 de mayo culmina el proceso que comenzó hace unos años… y también comienza todo: un nuevo cumplimiento, un nuevo enfoque en la privacidad, un nuevo reto para las empresas cualquiera que sea su tamaño.

Las estadísticas dicen que la mayoría de las empresas todavía no han hecho nada al respecto, ni tan siquiera pensar sobre ello. Muchas por desconocimiento, otras porque creen que el RGPD no les afecta y otras muchas porque necesitan todavía ese «tiempo emocional» para asumir que nos encontramos ante un importante cambio, sobre todo, de mentalidad.

Pero elucubraciones aparte, hay siete cosas que sí o sí toda pyme debe hacer sin mucha dilación, aquí las resumimos. Vaya por delante que las obligaciones no son iguales para todos pues el enfoque del RGPD se basa en el riesgo y desde luego no debe abordarse igual una pequeña compañía B2B que una pyme que realiza análisis de perfiles o que trata con datos de salud (ahora incluidas en las llamadas «categorías especiales de datos»). No vamos a describir todas las obligaciones del RGPD pero sí las fundamentales y comunes a prácticamente todas las compañías:

1.- Confeccionar un registro de actividades de tratamiento. El registro se convierte en el verdadero manual interno de los tratamientos de la empresa: debe incluir la descripción de los tratamientos, los fines, los destinatarios, los plazos de supresión y las medidas técnicas y organizativas… ¿no nos recuerda mucho al hasta ahora obligatorio Documento de Seguridad? Lo de menos es cómo lo llamemos, lo importante es tener recogida esta información y todavía más importante, cumplir su contenido.

2.- Crear los procedimientos para satisfacer los nuevos derechos (portabilidad y limitación) además de los ya existentes de acceso, rectificación, oposición y supresión.

3.- Crear un procedimiento de detección y notificación de brechas de seguridad pues ahora las brechas deberán comunicarse a la Agencia Española de Protección de Datos.

4.- Revisar la base que legitima el tratamiento de los datos: en unos casos será el consentimiento (eso sí explícito y por finalidades), en otras la ejecución de un contrato, en otras el cumplimiento de una obligación legal y en otras, el interés legítimo. Habrá que tener claro cada caso.

5.- Actualizar las cláusulas de información a la hora de recoger datos: ahora hay que informar de más cosas. Tan sencillo como modificarlas.

6.- Actualizar los contratos de encargo de tratamiento pues ya no nos podemos despachar con aquellas sencillas cláusulas del artículo 12 de la LOPD… Ahora toca describir las actividades de tratamiento que encargamos al tercero y las medidas que le exigimos…

7.- Reflexionar sobre si necesitamos un Delegado de Protección de Datos (DPO) o es aconsejable o si simplemente es suficiente con tener un responsable que supervise el cumplimiento de la privacidad.

No olvidemos que el principio que destila todo el Reglamento es el de «accountability», responsabilidad proactiva. Debemos hacer las cosas bien, ser capaces de demostrarlo y buscar la mejora continua en las cuestiones de privacidad.

Siete puntos que si mínimamente se abordan, se puede decir que empezamos a alinearnos con el RGPD… Pero ojo, hay otras cuestiones: evaluaciones de impacto, procedimientos transfronterizos… Seguiremos abordándolas. De momento, manos a la obra. Aquí estamos los profesionales para ayudar en este «tránsito».

25 de febrero de 2018
Paz Martín

¿Qué va a pasar con los ficheros de datos declarados ante la Agencia Española de Protección de Datos?

Como ya sabemos, el 25 de mayo de 2018 será de plena aplicación el nuevo Reglamento UE 2016/679 General de Protección de Datos (al que nos referimos ya como RGPD). Esta nueva legislación establece nuevas obligaciones y sobre todo exige un cambio de mentalidad en la organizaciones en lo que a la protección de la privacidad se refiere.

Sin embargo, una de las obligaciones que hasta la fecha era casi la «protagonista» del cumplimiento formal de la normativa de protección de datos, desaparece: nos estamos refiriendo a la obligación de declarar los ficheros de datos ante el Registro de la Agencia Española de Protección de Datos.

Esta obligación era considerada para muchos la única y principal en lo que a cumplimiento de la ahora vigente LOPD: nada más lejos de la realidad. Sin embargo sí ha servido durante estos casi dieciocho años para comprobar la estructura de los tratamientos en las organizaciones, la tipología de los datos tratados, las actividades e incluso la propia estructura interna de las organizaciones (si tienen o no canal de denuncias, si tienen o no cámaras de videovigilancia, etc).

El RGPD no contempla esta obligación y por lo tanto, a partir del 25 de mayo, ya no será necesario comunicar los ficheros ante la Agencia Española de Protección de Datos.

Hasta entonces ¿sigue siendo obligatorio declarar ficheros?

La respuesta es sí. La actual LOPD quedará sin efecto con la entrada en vigor del nuevo Reglamento que como sabemos deroga la Directiva 95/46/CE de la que deriva nuestra actual LOPD. Por lo tanto, y mientras tanto, será obligatorio declarar ficheros, actualizar lo que corresponda y cancelar los que ya no existan.

Pero además existe una nueva obligación contemplada en el RGPD para la que la declaración actual de los ficheros es clave: la obligación de registro de las actividad de tratamiento establecida en el artículo 30. Pero ojo, esta obligación no aplica en todos los casos:

  • No se aplica a empresas u organizaciones que emplee a menos de 250 personas
  • A menos que el tratamiento que realice pueda entrañar un reisgo para los derechos y libertades de los intereados
  • No sea ocasional
  • o incluya categorías especiales de datos personales
  • o datos personales relativos a condenas e infracciones penales

¿En qué consiste ese «registro de actividades de tratamiento» que establece la nueva legislación?

Pues se trata de llevar una relación de lo que se hace en materia de datos que incluya, al menos:

a) El nombre y los datos de contacto del responsable así como del Delegado de protección de datos

b) Los fines del tratamiento

c) Una descripción de las categorías de interesados y de las categorías de datos personales

d) Las categorías de destinatarios a quienes se comunicaron o cumunicarán los datos personales, incluidos lo que se encuentren en terceros países u organizaciones internacionales

e) las transferencias internacionales de datos

f) Los plazos previstos para la supresión de las diferentes categorías de datos

g) Una descripción, cuando sea posible, de las medidas técnicas y organizativas adoptadas

También los encargados de tratamiento deberán indicar las actividades de tratamiento realizadas para un responsable.

Al que haya declarado ficheros ante la Agencia Española de Protección de Datos, lo anterior no le resultará completamente ajeno por lo que los actuales ficheros podrán servir, sin lugar a dudas, como base para cumplir con la obligación de llevar un registro de actividades de tratamiento puesto que gran parte de la información ya está recogida.

No en vano, la propia Agencia Española de Protección de Datos acaba de habilitar recientemente una nueva funcionalidad en su sede electrónica precisamente para solicitar copia de los ficheros inscritos que será facilita en formato electrónico.

Lo que pase a partir del 25 de mayo de 2018 con ese registro, es, en principio un misterio pues al dejar de ser obligatoria la declaración, el Registro de la Agencia quedará desactualizado aunque no sabemos si se mantendrá un tiempo para facilitar a los responsables la «reconversión» de sus ficheros o si quedará sin acceso. No obstante, antes de la citada fecha, conviene hacer los deberes en los casos en los que la empresa u organización vengan obligados a llevar ese registro.

Por lo tanto y como recomendación:

1.- Revisar los ficheros actuales, actualizando y modificando lo que proceda pues nos van a servir de base para otras obligaciones que sí establece el RGPD.

2.- Solicitar en su caso a la propia Agencia Española de Protección de Datos esa copia para comenzar a confeccionar el registro de actividades de tratamiento descrita en el artículo 30 del RGPD.

3.- Reflexionar y abordar la transición al nuevo Reglamento para que el cumplimiento, llegada la fecha, sea adecuado y no «entren prisas».

4.- Y sobre todo y no menos importante, no está de más, dejarse asesorar por profesionales cualificados que diseñen planes a medida y ayuden en el cumplimiento más adecuado para cada organización.

Paz Martin