El RGPD da el pistoletazo de salida para su aplicación
El próximo día 25 de mayo comenzará a aplicarse la nueva normativa relativa a la privacidad: el tan mencionado RGPD. También se está tramitando una nueva Ley Orgánica de Protección de Datos de Carácter Personal (este es el proyecto de ley). La actual LOPD y su reglamento seguirán en vigor con carácter subsidiario, es decir, para aquello que no esté regulado y no contradiga a la nueva normativa.
Para apoyar a las pymes en el cumplimiento de los requisitos de seguridad del reglamento publicamos un nuevo servicio, RGPD para pymes, que esperamos facilite la tarea de abordarlo. En él podrás encontrar los siguientes apartados:
- ¿Tengo que cumplir?: consulta si afecta a tu empresa y qué ventajas tiene cumplir el RGPD.
- ¿Cómo cumplo?: cinco pasos que te llevarán a garantizar el cumplimiento y algunos consejos según los riesgos de los tratamientos que realices.
- Organización: cómo has de adecuar tus procedimientos y políticas para garantizar la privacidad.
- Tecnología: qué herramientas y servicios van a ayudarte a cumplir, verificarlo y demostrarlo.
Principios de la protección de datos
Hace unos dos años nos hacíamos eco de la entrada en vigor del Reglamento Europeo de Protección de Datos y posteriormente adelantamos unos Primeros pasos para cumplir el nuevo RGPD.
Estos son los principios en los que se basa la protección de datos personales del nuevo RGPD y que han de cumplir los responsables de tratamiento:
- Principio de licitud, lealtad y transparencia, es decir, los datos personales no pueden ser recogidos de forma fraudulenta, desleal o ilícita. El tratamiento será lícito si cumple con alguna de las condiciones del art. 6 del RGPD. Además el responsable debe facilitar al interesado toda la información sobre el tratamiento de forma concisa, transparente, inteligible y de fácil acceso.
- Principio de limitación de la finalidad. Los fines para los que se recogen los datos personales deben ser determinados, explícitos y legítimos, y no serán tratados ulteriormente de forma incompatible con esos fines. No son fines incompatibles: el archivo en interés público, la investigación científica e histórica o los estadísticos, aunque podrán aplicarles garantías específicas, como anonimizarlos o, en algunos, casos seudonimizarlos.
- Principio de minimización de datos. Los datos deben ser adecuados, pertinentes y limitados a los fines para los que se recogen. En este sentido, se podrán seudonimizar, es decir, tratar de manera que ya no puedan atribuirse al interesado sin utilizar información adicional que estará separada y protegida.
- Principio de exactitud de datos. Los datos han de ser exactos, correctos y completos, suprimiéndose o rectificándose, sin dilación, los que no estén actualizados o sean inexactos. El interesado tiene derecho a solicitar la rectificación de sus datos al responsable, que tendrá 1 mes para hacerlo.
- Principio de limitación del plazo de conservación de los datos, es decir, sólo deben ser mantenidos, de forma que se permita la identificación, durante el tiempo necesario para los fines del tratamiento. Además se ha de informar al interesado, al tiempo de recoger los datos, de este plazo de conservación o de los criterios para determinarlo.
- Principio de integridad y confidencialidad, es decir, los tratamientos han de garantizar la seguridad adecuada de los datos, aplicando medidas técnicas u organizativas (en base a un análisis de riesgos) apropiadas para:
- la protección contra el tratamiento no autorizado o ilícito, y
- la protección contra su pérdida, destrucción o daño accidental.
Checklist de responsabilidad proactiva
A esto hay que añadir que el responsable del tratamiento será también responsable del cumplimiento de los principios anteriores y además debe ser capaz de demostrarlo (responsabilidad proactiva).
Y para hacer más fácil la responsabilidad proactiva aquí tienes las preguntas clave para el cumplimiento aplicables a todas las pymes.
- ¿Realizas una actividad comercial en la UE o tratas datos personales en la UE o sobre personas que se encuentren en la UE? Si es así, esto te afecta, has de ser responsable proactivamente, es decir, hacer un análisis de riesgos de privacidad, tomar las medidas adecuadas y verificar que puedes demostrar que garantizas la privacidad.
- ¿Tratas datos de categorías especiales o a gran escala, es decir, son tratamientos de alto riesgo? Verifica si tratas datos de categorías especiales o a gran escala. Si es así debes seguir la guía de la AEPD para realizar una Evaluación de Impacto en la protección de datos personales.
- ¿Tienes menos de 250 empleados y no realizas tratamientos de alto riesgo? Si es así cumple con FACILITA, en caso contrario, tanto si tienes más de 250 empleados como si realizas tratamientos de alto riesgo, has de llevar un Registro de actividades.
- ¿Haces tratamientos a gran escala? Si la respuesta es afirmativa: nombra un DPD, es decir, un Delegado de protección de datos y firma con él un contrato siguiendo la guía de la AEPD. También has de firmar contratos con terceros si les encargas el tratamiento en todo o en parte.
- ¿Estás preparado por si tienes una brecha de seguridad con riesgo para la privacidad? Actualiza tus procedimientos para notificar, en un plazo máximo de 72 horas a las autoridades y sin dilación a los interesados.
Para cualquier duda consulta a la AEPD en su canal INFORMA_RGPD.
