Protección de datos: quedan (solo) cuatro meses para ponerse al día

Protección de datos: quedan (solo) cuatro meses para ponerse al día

Un repaso a los deberes que tienen las empresas que quieran cumplir con el Reglamento europeo de Protección de Datos

Quedan (solo) cuatro meses para la aplicación directa del Reglamento europeo de Protección de Datos, el 25 de mayo de 2018. Es decir, para que se aplique su régimen sancionador (porque ‘en vigor’ está desde el 25 de mayo de 2016).

Como los malos estudiantes, la mayoría de empresas españolas (y no digo nada de la  Administración) no han hecho los deberes y ahora se acuerdan de Santa Bárbara, o de Santo Dato, cuando ya se escuchan los primeros truenos.

El próximo domingo, 28 de enero, se conmemora el Día Europeo de Protección de Datos y es también Santo Tomás de Aquino, patrón de los Estudiantes. Por eso, este año queremos dedicar este día a esos malos estudiantes del RGPD.

A continuación se exponen las tareas mínimas que hay que realizar para llegar al día del ‘examen’, al menos, dando la impresión de que se ha intentado cumplir las obligaciones esenciales del RGPD (aunque sea para aprobar por los pelos).

Dichas tareas están basadas, obviamente, en el propio RGPD y en las distintas guías y herramientas, que ha ido publicando la Agencia Española de Protección de Datos, para facilitar el cumplimiento de aquél, especialmente por las PYMEs.

  • Lista de Tareas

1. Identificar si la empresa está en un sector de riesgo

Para empezar, lo primero es descartar que la empresa esté en un sector de alto riesgo (por las categorías de los datos personales y los tipos de tratamientos):

1. Sanidad

2. Solvencia patrimonial y crédito

3. Generación y uso de perfiles

4. Actividades políticas, sindicales o religiosas

5. Servicios de telecomunicaciones

6. Seguros

7. Entidades bancarias y financieras

8. Actividades de servicios sociales

9. Publicidad

10. Videovigilancia masiva

2. Hacer un ‘inventario’ de todos los datos que maneja la empresa

Revisar todas las bases de datos y ficheros y distinguir los datos personales (los asociados a una persona física, identificada o identificable) de los que no lo son.

3. Hacer una clasificación de esos datos por categorías

Distinguir los datos personales normales de las categorías especiales de datos personales (datos personales especialmente sensibles y, por tanto, protegidos):

1. Datos que revelen origen étnico o racial

2. Datos de opiniones políticas

3. Datos de convicciones religiosas o filosóficas

4. Datos de afiliación sindical

5. Datos genéticos

6. Datos biométricos (que sirvan para identificar a alguien)

7. Datos de salud física o mental

8. Datos relativos a la vida sexual o a la orientación sexual

9. Datos relativos a condenas o infracciones penales

10. Geolocalización

4. Hacer una lista de todos los tratamientos de datos, según su finalidad

Hay que saber en qué tratamientos se utiliza cada uno de los datos personales y cuál es la finalidad de los mismos, para saber si son tratamientos de riesgo:

1. Hacer o analizar perfiles

2. Hacer publicidad y prospección comercial masiva a potenciales clientes

3. Explotación de redes públicas

4. Proveedor de servicios de internet

5. Gestión de asociados o miembros de partidos políticos

6. Gestión de asociados o miembros sindicatos

7. Gestión de asociados o miembros de iglesias o comunidades religiosas

8. Gestión de otras entidades políticas, sindicales, religiosas o filosóficas

9. Gestión, control sanitario o venta de medicamentos

10. Historial clínico o sanitario

5. Comprobar que se tiene consentimiento expreso y específico

Para poder no sólo tratar, sino incluso tener un dato personal, se debe tener el consentimiento expreso (no vale tácito) y específico (para cada uso) del titular.

6. Comprobar que se está amparado por un interés legítimo o interés general

En el caso de que no se tenga el consentimiento expreso y específico del titular, sólo se podrán tener y tratar los datos si existe un interés legítimo o base legal.

7. Comprobar que se ha informado a los titulares de los datos

El reglamento europeo aumenta el deber de información y de transparencia de los responsables de los tratamientos de datos hacia los titulares de dichos datos.

8. Garantizar el ejercicio de los derechos de los titulares sobre sus datos

El RGPD añade a los tradicionales derechos ARCO de los titulares de los datos (acceso, rectificación, cancelación, oposición) los de portabilidad y limitación.

9. Adoptar medidas de seguridad y elaborar el documento de seguridad

Implantar diligentemente medidas de seguridad (organizativas y tecnológicas) adecuadas al riesgo del tratamiento y plasmarlas en un documento de seguridad.

10. Hacer una evaluación de riesgos de los tratamientos

Evaluar los riesgos para los derechos fundamentales (especialmente, el honor y la intimidad) en aquellos tratamientos y sectores en que existe un elevado riesgo.

 

Para nota: el Delegado de Protección de Datos y la Oficina del DPD

Aunque no todas las empresas (especialmente, las PYMEs) están obligadas a nombrar un Delegado de Protección de Datos, sin duda es conveniente poder contar con esa figura, que acompañe y supervise las tareas que hay que realizar.

En el caso de que no sea obligatorio ni posible (especialmente, para una PYME) contar con un Delegado de Protección de Datos en exclusiva, puede nombrarse un DPD en las asociaciones sectoriales, para asesorar a todos sus asociados.

En cualquier caso, es importante distinguir entre el Delegado de Protección de Datos y la Oficina del Delegado de Protección de Datos, porque, en realidad, el Delegado de Protección de Datos es el Jefe de la Oficina de Protección de Datos.

En este sentido, tanto la figura individual del Delegado de Protección de Datos como la Oficina de apoyo al Delegado de Protección de Datos, pueden estar en la empresa o la asociación sectorial o prestarse externamente, como un servicio.

Quedan solo cuatro meses y hay muchos deberes que hacer. Es hora de ponerse las pilas e intentar recuperar el tiempo perdido (dos años, para ser exactos). Así que, a Santo Tomás y a Santo Dato rogando y con el mazo dando.

Más información

Retina

21/07/2019
07
El ciberespacio occidental copia la internet paralela china

El ciberespacio occidental copia la internet paralela china

China ha construido una Internet paralela, y la integración con la que rige el resto del mundo es mínima. La Gran Muralla Cibernética ha protegido a sus empresas y el gigantesco mercado local ha espoleado su innovación. Ahora es Occidente quien copia sus servicios.

Ya estamos viajando en la nave de Bowman
09

Ya estamos viajando en la nave de Bowman

Hoy ya viajamos en la nave de Bowman, el astronauta de '2001: una odisea del espacio' que concibió Arthur C. Clarke. la nuestra, sin embargo, es una odisea por el espacio digital

¿De verdad es tan peligrosa FaceApp?
10

¿De verdad es tan peligrosa FaceApp?

FaceApp, una aplicación de origen ruso, ha vivido una segunda juventud dos años después de hacerse viral. Su éxito repentino ha propagado la preocupación por todo el mundo. ¿Se la merece?

Normas