Cumplir con la Directiva de la GDPR, como hacerlo

Desde mayo de 2018 es obligatorio cumplimiento el nuevo reglamento para la protección de datos en toda la Unión Europea.

Si te afecta, necesitas empezar ya a pensar en su cumplimiento. Esta página está diseñada para ayudarte a entender el Reglamento General de Protección de Datos (GDPR), cuantificar los requisitos y ofrecer soluciones. Esta directiva afectará a todas las empresas de Europa que manejen información personal de cualquier tipo. También afectará a cualquier empresa que realice negocios en la UE. Las reglas son complejas y las multas por su no cumplimiento son importantes (hasta 20 millones de euros).

¡Pero estás en el sitio adecuado para obtener más información!

Cumplir el reglamento GDPR, paso a paso

Las implicaciones de la GDPR son complejas, por lo que hemos dividido el proceso de cumplimiento en tres grupos de medidas que deberías considerar, subdivididas en varias áreas con una explicación más detallada. Pulsa en las barras del diagrama inferior para examinar estas áreas según tus necesidades.

-Requisitos de la estructura organizativa

Bajo la GDPR, debes implementar un amplio rango de medidas para garantizar que reduces el riesgo de incumplimiento de la GDPR y para que te permita demostrar que te tomas la gestión de la información seriamente. Entre las medidas de responsabilidad necesarias se encuentran:

  • Evaluaciones del impacto de la privacidad
  • Auditorías
  • Revisiones de las políticas
  • Registros de actividad
  • Si es necesario, nombrar a un responsable de protección de la información (DPO).


-DPO (Responsable de protección de la información)

La GDPR introduce la obligación de que ciertas organizaciones designen un Responsable de protección de la información (DPO). Estas organizaciones deben designar a un empleado o consultor externo como su DPO.

Si eres un comerciante con una gran base de datos de clientes, probablemente necesitarás designar un DPO; se espera que las autoridades nacionales de protección de datos proporcionen consejo sobre quién cumple los requisitos.

Tu DPO será responsable de monitorizar el cumplimiento de la GDPR, informándote de tus obligaciones y sobre cuándo y cómo debería llevarse a cabo una evaluación del impacto de la privacidad y ser el punto de contacto para las solicitudes de las autoridades nacionales de protección de datos y particulares.

-Punto centralizado

El concepto de punto centralizado permite a una empresa establecida en varios países de la UE tratar solo con una autoridad nacional de protección de datos (DPA),  aunque las reglas para determinar cuál debería adoptar este papel, y cómo deberían gestionar las quejas, son complejas en algunos casos.

-Procesos, procedimientos y políticas

-Violación de datos

La GDPR redefine una violación de datos como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”.

Esta es una definición más amplia que la anterior y no toma en consideración si la violación crea algún daño al individuo. Si sufres una violación de la seguridad de la información, debes informar a la autoridad nacional de protección de datos como máximo 72 horas después de descubrir la violación de datos.

Sin embargo, estás exento de notificar a las personas si has tomado medidas técnicas y organizativas apropiadas para proteger la información personal, tales como el cifrado.

-Protección de datos por diseño

Una parte importante del cumplimiento de la GDPR es la privacidad por diseño, esto es diseñar cada nuevo proceso o producto con los requisitos de privacidad como aspecto central. Este enfoque, que anteriormente consistía en una buena práctica, es ahora un requisito explícito.

-Evaluación del impacto de la protección de datos

La evaluación del impacto de protección de datos, también conocida como evaluación del impacto de la privacidad (PIA), está pensada para identificar y minimizar los riesgos de incumplimiento.

La GDPR convierte los PIAs en un requisito formal; específicamente los controladores deben garantizar que se ha ejecutado un PIA, antes del inicio de cualquier actividad de procesamiento de "alto riesgo".

-Transferencias internacionales (entre grupos/a entidades externas)

Si operas a nivel internacional, tus reglas y procesos para transferir datos a jurisdicciones externas a la UE tendrán una consideración relevante, puesto que las penas por la no adecuación o la transferencia de datos a jurisdicciones no reconocidas (por la Comisión europea) por tener un reglamento de protección de datos adecuada pasarán a ser mucho más rigurosas después de la entrada en vigor de la GDPR.

-Conocimiento de la seguridad de la información

-Interno - empleados

Ahora es el momento de empezar a explicar la necesidad del cumplimiento de la GDPR a tus propios empleados. Tal vez necesites empezar a planificar procedimientos revisados para afrontar las nuevas cláusulas sobre los derechos individuales y de transparencia de la GDPR. Esto podría tener consecuencias importantes a nivel financiero, técnico y de formación.

-Responsabilidad - medidas técnicas

Medidas técnicas

La GDPR hace que los controladores sean responsables de demostrar el cumplimiento con sus principios de protección de datos, por lo que necesitarás asegurarte de que tienes políticas claras implantadas para demostrar que cumples los estándares necesarios desde el principio, monitorizando, revisando y evaluando con regularidad tus procedimientos de procesamiento de información y garantizando que tus empleados están formados para entender sus obligaciones. Debes ser capaz de demostrar esto en todo momento, cuando lo solicite la autoridad nacional de protección de datos (DPA).¡

-Violación de información – medidas técnicas

Debes prepararte para una eventual violación de información (definidas como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”) implementando políticas claras y procedimientos demostrados con el fin de garantizar que puedes reaccionar y notificar cualquier violación de información cuando sea necesario.

La no notificación de una violación de información cuando es necesaria podría traer como consecuencias una multa, además de la multa por la violación de información en sí misma.

-Garantizar los derechos del sujeto de la información - técnicamente

La GDPR refuerza los derechos de los sujetos de la información, por ejemplo añadiendo el derecho a solicitar información sobre los datos que están siendo procesados de sí mismos, el acceso a los datos en ciertas circunstancias, y la rectificación de la información errónea.

-Acceso de los sujetos

Uno de los objetivos principales de la GDPR es reforzar los derechos de los individuos. Como consecuencia, las reglas para tratar las peticiones de acceso de los sujetos cambiarán, y necesitarás actualizar tus procedimientos para reflejar esto.

En la mayoría de casos no podrás cobrar por atender una solicitud y normalmente tendrás un máximo de 40 días para satisfacerla.

-Derecho a que borren la información ("derecho al olvido")

El derecho al olvido ("borrado" en la terminología de la GDPR) permite a los individuos solicitar a tus controladores de datos borrar sus datos personales sin demora injustificada en ciertas situaciones, por ejemplo donde exista un problema con la legalidad subyacente del procesamiento, o donde retiren el consentimiento.

Las terceras partes con las que compartes los datos de los individuos también están cubiertas por estas reglas.

-Toma de decisiones y evaluación de perfiles automáticamente

La GDPR define la evaluación de perfiles como “cualquier forma de procesamiento automático de información personal que consiste en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir ciertos aspectos relativos al comportamiento de esa persona física en el trabajo, situaciones económicas, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimiento”; sin embargo, existe ambigüedad acerca de cómo se aplicará el derecho de los sujetos de la información a no estar sujetos a decisiones basadas en la evaluación de perfiles.

-Portabilidad de los datos

La GDPR introduce un nuevo derecho a la portabilidad de los datos, que va más allá del derecho de los individuos a solicitar que proporcione sus datos en un soporte electrónico común y requiere que el controlador proporcione la información de forma estructurada, en un formato usado comúnmente y que sea legible por ordenadores.

Existen algunos límites a esta regla, por ejemplo solo se aplica a datos personales procesados por medios automáticos.

-Derecho a objetar (incluyendo el derecho absoluto a evitar el marketing directo)

Como parte del objetivo de reforzar los derechos de los individuos, la Comisión europea también está otorgando un derecho a restringir cierto procesamiento y un derecho a objetar que los datos personales sean analizados y procesados para fines de marketing directo.

Cuando un individuo objeta, sus datos no deben ser procesados para marketing directo nunca más y la información de contacto del individuo debería añadirse a un archivo de supresión interno.

Las organizaciones deben informar a las personas de su derecho a objetar el procesamiento de sus datos de forma explícita y separada de cualquier otra información que puedan proporcionarles.

-Comunicar la información de privacidad (consentimiento, avisos de procesamiento justo)

-Consentimiento

Tal vez necesites revisar cómo buscas, obtienes y guardas el consentimiento; el consentimiento de un sujeto de la información a procesar su información personal debe ser tan fácil de retirar como de otorgar, y debe ser también una indicación positiva de que la conformidad a que la información personal sea procesada no puede ser inferida mediante silencio, casillas premarcadas o inactividad.

-Consentimiento parental

La GDPR concede especial protección cuando se trata de la gestión de información personal de niños, especialmente en relación a servicios de Internet como redes sociales.

En Internet, se requiere el consentimiento previo de los padres para el uso de los datos personales de cualquier persona menor de 13 años. Los Estados Miembros pueden establecer sus propias reglas para aquellos con edades comprendidas entre 13 y 15 años. Si eligen no hacerlo, se requiere consentimiento de los padres para los menores de 16 años.

Como resultado, deberías empezar a pensar cómo implementar sistemas robustos para comprobar la edad de los individuos y para recopilar el consentimiento de los padres o tutores para procesar esa información.

El consentimiento debe ser verificable, y cuando se recopila la información de los menores el aviso de privacidad debe estar redactado en un lenguaje que ellos puedan entender.

-Avisos de procesamiento justo

La GDPR incrementará probablemente el rango de aspectos que debes contar a los sujetos de la información, por ejemplo tu base legal para procesar sus datos, tus periodos de retención de sus datos y su derecho a emitir una queja a su autoridad nacional de protección de datos si creen que existe algún problema con la forma en la que estás tratando sus datos; ten en cuenta que la GDPR requiere que esta información sea proporcionada en un lenguaje claro y conciso.

-Seguridad de los datos (integridad y confidencialidad)

La GDPR establece principios de seguridad de los datos parecidos a aquéllos de la directiva actual, entre ellos: justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

Debes garantizar que los datos personales sean procesados de forma que garantice su seguridad, incluyendo la protección contra el procesamiento no autorizado o ilegal, y contra su pérdida accidental, destrucción o daño: “La organización y cualquier proveedor de servicios subcontratados implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo".

El reglamento sugiere un número de medidas de seguridad que pueden ser utilizadas para lograr la protección de datos, que incluyen: pseudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia continua de sistemas y servicios para procesar datos personales; la capacidad de restaurar la disponibilidad de y el acceso a datos personales en un tiempo razonable en caso de incidencia física o técnica; y un proceso para probar, calificar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos personales.

-Cifrado

La GDPR especifica el cifrado como una medida que puede contribuir a garantizar el cumplimiento de algunas de estas obligaciones. Citando textualmente el reglamento:

Artículo 32 – Seguridad del procesamiento

“1.   Teniendo en cuenta el estado actual, los costes de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento así como el riesgo de probabilidad variable y la severidad de los derechos y libertades de las personas físicas, el controlador y el procesador implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo entre otros como apropiados: (a) la seudonimización y el cifrado de datos personales […]”

Artículo 34 – Comunicación de una violación de datos al sujeto de la información

“3. La comunicación al sujeto de la información a la que se hace referencia en el párrafo 1 no será necesaria si se cumple alguna de las siguientes condiciones: (a) el controlador ha implementado las medidas técnicas y organizativas de protección apropiadas, y esas medidas fueron aplicadas a los datos personales afectados por la violación de datos personales, especialmente aquellos que dejan los datos personales ininteligibles a cualquier persona no autorizada a acceder a ellos, como el cifrado […]”

-Documentación de los datos, base legal y auditoría

Medidas a nivel de datos

-Existencia y clasificación de datos personales

Deberías documentar qué datos personales guardas, de dónde provienen y con quién los compartes.

Si tienes datos personales incorrectos y los has compartido con otras organizaciones, la GDPR requiere que informes a la otra organización de la incorrección para que puedan corregir sus propios registros. Para ello esto puede requerir una auditoría de información en toda tu empresa o en zonas particulares dentro de ella. Esto también te ayudará a cumplir con el principio de responsabilidad de la GDPR.

-Bases legales para el procesamiento de datos personales

Bajo la GDPR, deberías examinar cómo procesas datos personales e identificar la base legal en la que llevas a cabo y documentas estos procesos.

Esto es necesario porque algunos derechos de los individuos serán modificados por la GDPR dependiendo de tu base legal para procesar sus datos personales. Un ejemplo es que los individuos tendrán un derecho más fuerte a eliminar sus datos donde utilices consentimiento como tu base legal para procesarlos. Sin embargo, el consentimiento es solo una de las diferentes formas de legitimar la actividad de procesamiento y puede que no sea la mejor (como puede deducirse).

 

La información presentada en esta página web no constituye ninguna opinión legal, y los usuarios no deberían confiar en su precisión a la hora de tomar decisiones financieras o empresariales.


Imprimir   Correo electrónico