Cuatro puntos a tener en cuenta en la aplicación del RGPD

Se acerca el 25 de mayo, y esto que quiere decir, que entra en vigor ya de manera oficial el nuevo Reglamento General de Protección de Datos (RGPD) lo que nos va a condicionar de una manera directa o indirecta toda nuestra actividad empresarial, comercial y de procedimientos de trabajo.

Uno

Lo primero que nos encontramos es que ya no es necesario registrar ficheros ante la AEPD, ahora debemos registrar y mantener un modelo de tratamiento y un registro de actividades. En el primero detallaremos de forma sucinta cómo trabajamos y en el segundo mantendremos un histórico del registro de tratamientos.
Para que nos hagamos una idea, ¿Qué debemos llevar en este registro? Por ejemplo, para un alta de cliente, el registro sería:
Tipo de datoOrigenFechaMotivo del tratamientorealizadorLegitimación
Personal:Nombre: ….Apellidos: ….Domicilio: ………………..…..C.P.: ……………………………..Cif: ………………………………..Tel.: ………………………………Nif: ……………………………….Resto de datosEl propio interesado o su representante legal05/05/2018Alta en el sistema de gestiónPersonal con acceso a datos (nombre)OEncargado de tratamiento(nombre)Relación contractual
Así podríamos seguir con todas las posibles cambios en esos datos que nos podamos imaginar.

Dos

En segundo lugar, cambian los tipos de datos y su seguridad, antes había tres niveles de datos y tres  de seguridad (básico medio y alto) y ahora tenemos otros tres niveles (datos básicos, datos especialmente protegidos y datos que afecten a situaciones y condenas penales), Es decir:
  • Datos básicos: datos de contacto, filiación y económicos
  • Datos especialmente protegidos: datos de salud, orientación sexual, orientación religiosa, orientación política y/o sindical, etc.
  • Datos penales: todos aquellos que puedan estar detrás de una sentencia penal o de una comunicación Judicial.

La pregunta que os hago yo ahora es: ¿Qué tipo de datos manejáis vosotros?

La gran mayoría contestará: “yo sólo manejo datos básicos mi empresa solo tiene los datos de facturación de los clientes y los datos de mis empleados”,  y yo le responderé que está equivocado, y le pongo este ejemplo para que se haga una idea, un empleado que se pone malo y se da de baja, desde este momento ya manejamos datos de salud (parte de baja) y otro ejemplo, un proveedor o empleado sobre el que recibamos una notificación de un juzgado para que le embarguemos créditos o haberes por temas pendientes, desde ese momento ya tenemos datos penales.
Como veréis es muy fácil que todos tengamos datos especialmente protegidos o datos penales. Quizá no de forma permanente pero sí puntualmente.

Tres

Otra de las cosas que cambian en nuevo RGPD, es la cuestión de la seguridad, que ahora pasa a llamarse “seguridad por principio y por defecto”, y esto qué significa, pues básicamente que ya no vale con poner en un documento de seguridad “que vamos a adoptar todas las medidas necesarias encaminadas a salvaguardar los datos”, ahora debemos pensar eso y además hacerlo, y para ello surge una nueva figura en este nuevo RGPD y que se llama EIPD o lo que es lo mismo una evaluación del impacto de la protección de datos y que básicamente es un documento que nos va a permitir saber dónde podremos tener nuestras “quiebras de seguridad” y cómo afrontarlas, este documento nos dirá también si podremos hacer o no dicho tratamiento.

Cuatro

Ya por último nos queda solo hablar de una figura profesional nueva y que se llama “delegado de Protección de Datos o DPD”, esta es una figura de enlace entre el responsable del Tratamiento y la LOPD y su RGPD, es una figura de obligada contratación y designación en los siguientes casos:
  1. Empresas de más 250 empleados
  2. Todas las administraciones públicas
  3. Aquellas empresas que entre sus actividades tengan la observancia sistemática de grandes grupos de interesados
  4. Aquellas empresas que tengan entre sus actividades el tratamiento de documentación penal o Judicial.
Todos estos cambios están encaminados a proteger los derechos y libertades de las personas. Pero ademán se han añadido otras medidas, en este caso persuasorias como incrementar las multas y sanciones hasta los 20.000.000 de euros, y pueden incluso promover cantidades como indemnización a las personas cuyos derechos se vean conculcados, como por ejemplo no atender un derecho ARCO (Acceso, rectificación, cancelación, olvido y oposición) en un plazo superior a 30 días desde la presentación del dicho ejercicio de derecho.
Y  ¿qué es necesario para ser DPD? Básicamente tener más de 5 años de experiencia en asuntos de Protección de datos o tener más de 180 horas de formación en temas de Protección de datos, y ¿es necesario tener algún título? No, para ser DPD NO es necesario  ningún título aunque la Agencia ha desarrollado un esquema para la certificación de DPD
Bueno, únicamente me queda recomendaros:
  1. Hacer un buen modelo de tratamiento de actividades
  2. Nombrar o designar un DPD
  3. Solicitar a una empresa como la nuestra que nos haga una auditoria de nuestros sistemas y así poder saber qué grado de cumplimiento tienen nuestros sistemas.
Este último punto es más un deseo que una recomendación, por supuesto, pero confiamos en que os tiente lo suficiente, al menos para solicitarnos información.
Hasta nuestro próximo artículo.
Ir al contenido