Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Para cumplir correctamente el RGPD, sigue estas siete recomendaciones

Fecha de publicación 21/06/2018
Autor
INCIBE (INCIBE)
Para cumplir correctamente el RGPD, sigue estas siete recomendaciones

Desde hace un mes se debe cumplir el procedimiento que indica la nueva normativa de protección de datos. La privacidad de tus clientes se puede ver amenazada y las consecuencias para tu negocio pueden ser graves. Seguro que te has asesorado bien y cumples con todo lo previsto, pero por si acaso, te ofrecemos una serie de recomendaciones sobre los puntos que debes revisar: 

  1. Determina las responsabilidades para gestionar los datos personales.
  • Un responsable de tratamiento de datos, es decir la «persona física o jurídica […] que sólo o junto con otros, determine los fines y medios del tratamiento».
  • Encargados del tratamiento que serán «la persona física o jurídica […] que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del tratamiento». La relación entre el responsable y el encargado deberá formalizarse mediante un contrato o acto jurídico vinculante
  • En el caso de tratamientos a gran escala será necesario nombrar un delegado de protección de datos o DPD. Se trata de una figura que además de cooperar y ser el nexo de unión o punto de contacto con la autoridad, informa, coordina o asesora al responsable o al encargado en lo relativo al cumplimiento del RGDP. 
  1. Revisa el cumplimiento del deber de informar y que los interesados puedan ejercitar sus derechos. Según el nuevo RGPD, el responsable de tratamiento ha de:
  • informar de forma visible, accesible, sencilla y transparente sobre el tratamiento;
  • obtener el consentimiento inequívoco o expreso según las categorías de datos del tratamiento;
  • permitir a los interesados ejercitar sus derechos de forma sencilla, transparente y en los plazos previstos en el RGPD;
  • notificar a las autoridades y a los interesados en caso de violaciones de seguridad que puedan afectarles.
  1. Evalúa el impacto si realizas tratamiento de alto riesgo para la privacidad, es decir, datos personales de categorías especiales o de gran escala. 
  2. Lleva un registro de actividades de tratamiento si tienes más de 250 empleados o los tratamientos que realizas son de alto riesgo o no son ocasionales, que contendrá la identificación del responsable, fines del tratamiento, descripción de categorías de datos, categorías de destinatarios, las transferencias internacionales si se realizan, los plazos de supresión y la descripción de las medidas de seguridad. 
  3. Establece un procedimiento para notificar en caso de brecha de seguridad que ponga en riesgo la privacidad a las autoridades en un plazo máximo de 72 horas.
  4. Aplica las medidas organizativas que sean necesarias para adecuarse al RGPD, de tal manera que se puedan cumplir con los principios de dicho reglamento ofreciendo las garantías suficientes para que los interesados puedan ejercer sus derechos, así como formación adecuada para empleados, en el caso que participen en el tratamiento de datos. 
  5. Aplica las medidas de seguridad adecuadas según el análisis de riesgos para la privacidad. Para ello deberemos determinar dónde están ubicados los datos, clasificarlos según su criticidad, monitorizar su uso, conocer quién accede en todo momento, cuándo se borran y cifrarlos en caso de ser necesario. 

Verifica periódicamente estos siete puntos y también cada vez que pongas en marcha algún nuevo tratamiento o modifiques los que ya tenías.  Si quieres saber los derechos que tienen tus clientes, cómo te afecta el RGPD, qué medidas debes tomar y qué pasa si no cumples, en esta guía tienes las respuestas: Ganar en competitividad cumpliendo el RGPD: una guía de aproximación para el empresario.

Etiquetas