Directiva GDPR
El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos. Esta normativa es de obligado cumplimiento en todas las empresas con sede en el Espacio Económico Europeo así como las que se dirijan a mercados o consumidores de la Unión Europea. Las multas previstas en caso de infracción son elevadas, pueden llegar a alcanzar un 4% de la facturación total anual o 20 millones de euros, la cifra que sea superior.

 

Este nuevo Reglamento tiene como objetivos unificar la legislación que cada país de la Unión Europea tiene para controlar los derechos sobre los datos y dar cobertura legal a ocho derechos que, sobre esta materia, tienen los ciudadanos:

  • Derecho a estar informado

    Proporciona transparencia sobre cómo son utilizados los datos personales.
  • Derecho al acceso

    Provee acceso a los datos, a cómo son utilizados, y a cualquier información suplementaria que pueda ser utilizada juntos con ellos.
  • Derecho a la rectificación

    Otorga el derecho a que los datos personales sean rectificados en caso de ser incorrectos o incompletos.
  • Derecho a ser borrado

    Es el derecho a que los datos personales sean eliminados de cualquier lugar si no existe una razón convincente para que estén almacenados.
  • Derecho a restringir el procesamiento

    Permite que los datos sean almacenados, pero no procesados. Por ejemplo, se puede recurrir a este derecho si se siente que existen datos erróneos almacenados.
  • Derecho a la portabilidad de datos

    Se pueden solicitar copias de la información para su uso en cualquier otro lugar como es el caso de los productos financieros entre distintas entidades.
  • Derecho a objetar

    Otorga el derecho a objetar acerca del procesamiento de los datos como por ejemplo para que sean utilizados por organizaciones de marketing directo.
  • Derecho toma decisiones y perfiles automáticos

    Permite objetar sobre la toma de decisiones automáticas que se hagan sobre datos personales. “Automáticas” se refiere a sin intervención humana. Por ejemplo, la definición de determinados hábitos de compra online, en función a comportamientos previos.
La adecuación al GDPR no es un asunto que sólo compete al departamento legal o al tecnológico sino que requiere de un enfoque multidisciplinar para poder efectuar un análisis preciso de los procesos de tratamiento de los datos personales.
Las novedades que introduce el Reglamento producen cambios en las empresas a 3 niveles:

Section

Nivel organizativo

Requisitos de la estructura administrativa

Las empresas tienen que demostrar su profesionalidad en la gestión de la información. Entre las medidas de responsabilidad necesarias se encuentran:

 

  • Evaluaciones del impacto de la privacidad.

 

  • Auditorías.

 

  • Revisiones de las políticas.

 

  • Registros de actividad.

 

  • DPO: el DPO es una figura que no puede pertenecer ni al departamento IT ni estar presente en la junta directiva y es responsable de monitorizar el cumplimiento de la GDPR, informando de las obligaciones y de cuándo y cómo debería llevarse a cabo una evaluación del impacto de la privacidad. También es  el punto de contacto para las solicitudes de las autoridades nacionales de protección de datos y particulares.

Procesos, procedimientos y políticas

Violación de datos: La GDPR redefine una violación de datos como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”. Es una definición amplia y no tiene en cuenta si la violación crea algún daño al individuo. Ante una violación de la seguridad de la información, la empresa debe informar a la autoridad nacional de protección de datos como máximo 72 horas después de descubrir la violación de datos. Sin embargo, está exenta de notificar a las personas si se han tomado medidas técnicas y organizativas apropiadas para proteger la información personal, tales como el cifrado.

 

Protección de datos por diseño: cuando se tenga que diseñar un nuevo proceso o producto, el requisito de privacidad tiene que ser el eje central, de manera que este enfoque deja de ser una mera buena práctica para convertirse en un requisito explícito.

 

Evaluación del impacto de la protección de datos: la evaluación del impacto de la privacidad (PIA), está pensada para identificar y minimizar los riesgos de incumplimiento. La GDPR convierte los PIAs en un requisito formal; específicamente los controladores deben garantizar que se ha ejecutado un PIA, antes del inicio de cualquier actividad de procesamiento de “alto riesgo”.

 

Transferencias internacionales (entre grupos y/o a entidades externas): las reglas y procesos para trasferir datos a jurisdicciones externas a la UE deben de estar adecuadas al GDPR puesto que la vigilancia sobre ellas será mucho más rigurosas.

Conocimiento de la seguridad de la información

Las empresas deben de empezar desde ya a explicar la necesidad del cumplimiento de la GDPR a sus propios empleados, planificando procedimientos revisados para afrontar las nuevas cláusulas sobre los derechos individuales y de transparencia del Reglamento.

 

Hay que contar con las consecuencias a nivel financiero, técnico y de formación.

Nivel técnico

Responsabilidad técnica

La GDPR  asigna al rol de  los controladores la responsabilidad de demostrar el cumplimiento de protección de datos, eso hace necesario la implantación de políticas claras que demuestren el cumplimiento de los estándares necesarios desde el principio, monitorizando, revisando y evaluando con regularidad los procedimientos de procesamiento de información y garantizando que los empleados están formados para entender sus obligaciones. La empresa debe ser capaz de demostrar esto siempre que lo solicite la autoridad nacional de protección de datos (DPA).

Violación de la información

Las empresas deben implementar políticas claras y procedimientos demostrados con el fin de garantizar que pueden reaccionar y notificar cualquier violación de información cuando sea necesario.

 

La no notificación de una violación de información cuando es necesaria es multada, además de la multa por la violación de información en sí misma.

Garantizar los derechos del sujeto de la información

Acceso de los sujetos: las reglas para tratar las peticiones de acceso de los sujetos cambiarán, y hay que actualizar los procedimientos para responder a esto. En la mayoría de casos no se podrá cobrar por atender una solicitud y normalmente hay que satisfacerla en un máximo de 40 días.

 

Derecho a que borren la información (“derecho al olvido”): los individuos pueden solicitar a los controladores de datos el borrado de  sus datos personales sin demora injustificada en ciertas situaciones, por ejemplo donde exista un problema con la legalidad subyacente del procesamiento, o donde retiren el consentimiento. Las terceras partes con las que las empresas comparten los datos de los individuos también están cubiertas por estas reglas.

 

Toma de decisiones y evaluación de perfiles automáticamente: la GDPR define la evaluación de perfiles como “cualquier forma de procesamiento automático de información personal que consiste en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir ciertos aspectos relativos al comportamiento de esa persona física en el trabajo, situaciones económicas, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimiento”; sin embargo, existe ambigüedad acerca de cómo se aplicará el derecho de los sujetos de la información a no estar sujetos a decisiones basadas en la evaluación de perfiles.

 

Portabilidad de los datos: la GDPR introduce un nuevo derecho a la portabilidad de los datos, que va más allá del derecho de los individuos a solicitar que proporcione sus datos en un soporte electrónico común y requiere que el controlador proporcione la información de forma estructurada, en un formato usado comúnmente y que sea legible por ordenadores. Sólo se aplica a datos personales procesados por medios automáticos.

 

Derecho a objetar (incluyendo el derecho absoluto a evitar el marketing directo): cuando un individuo objeta, sus datos no deben ser procesados para marketing directo nunca más y la información de contacto del individuo debería añadirse a un archivo de supresión interno. Las organizaciones deben informar a las personas de su derecho a objetar el procesamiento de sus datos de forma explícita y separada de cualquier otra información que puedan proporcionarles.

Comunicar la información de privacidad (consentimiento, avisos de procesamiento justo)

Consentimiento: el consentimiento de un sujeto a procesar su información personal debe ser tan fácil de retirar como de otorgar, y debe ser también una indicación positiva de que la conformidad a que la información personal sea procesada no puede ser inferida mediante silencio, casillas premarcadas o inactividad.

 

Consentimiento parental: La GDPR concede especial protección cuando se trata de la gestión de información personal de niños, especialmente en relación a servicios de Internet como redes sociales.

 

En Internet, se requiere el consentimiento previo de los padres para el uso de los datos personales de cualquier persona menor de 13 años. Los Estados Miembros pueden establecer sus propias reglas para aquellos con edades comprendidas entre 13 y 15 años. Si eligen no hacerlo, se requiere consentimiento de los padres para los menores de 16 años.

 

Será por tanto imprescindible tener sistemas robustos para comprobar la edad de los individuos y para recopilar el consentimiento de los padres o tutores para procesar esa información.

 

El consentimiento debe ser verificable, y cuando se recopila la información de los menores el aviso de privacidad debe estar redactado en un lenguaje que ellos puedan entender.

 

Avisos de procesamiento justo: los sujetos  podrán disponer de más información, proporcionada en un lenguaje claro y conciso sobre temas como la base para procesar sus datos, los periodos de retención de sus datos y su derecho a emitir una queja a su autoridad nacional de protección de datos si creen que existe algún problema con la forma en la que se están tratando sus datos.

Seguridad de los datos (integridad y confidencialidad)

La GDPR establece como principios de seguridad de los datos a la justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

 

Las empresas deben garantizar que los datos personales sean procesados de forma que se  garantice su seguridad, incluyendo la protección contra el procesamiento no autorizado o ilegal, y contra su pérdida accidental, destrucción o daño: “La organización y cualquier proveedor de servicios subcontratados implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo”.

 

El Reglamento sugiere un número de medidas de seguridad que pueden ser utilizadas para lograr la protección de datos, que incluyen: pseudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia continua de sistemas y servicios para procesar datos personales; la capacidad de restaurar la disponibilidad y el acceso a datos personales en un tiempo razonable en caso de incidencia física o técnica; y un proceso para probar, calificar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos personales.

 

La GDPR especifica en sus artículos 32 y 34 el cifrado como una medida que puede contribuir a garantizar el cumplimiento de algunas de estas obligaciones.

 

Artículo 32 – Seguridad del procesamiento “1.   Teniendo en cuenta el estado actual, los costes de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento así como el riesgo de probabilidad variable y la severidad de los derechos y libertades de las personas físicas, el controlador y elprocesador implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo entre otros como apropiados: (a) la seudonimización y el cifrado de datos personales […]”.

 

Artículo 34 – Comunicación de una violación de datos al sujeto de la información “3. La comunicación al sujeto de la información a la que se hace referencia en el párrafo 1 no será necesaria si se cumple alguna de las siguientes condiciones: (a) el controlador ha implementado las medidas técnicas y organizativas de protección apropiadas, y esas medidas fueron aplicadas a los datos personales afectados por la violación de datos personales, especialmente aquellos que dejan los datos personales ininteligibles a cualquier persona no autorizada a acceder a ellos, como el cifrado […]”.

Nivel de datos

Documentación de los datos, base legal y auditoría

Existencia y clasificación de datos personales: hay que documentar qué datos personales se guardan, de dónde provienen y con quién se  comparten.

 

En caso de existir datos personales incorrectos que han sido compartidos con otras organizaciones, hay que informar a la otra organización de la incorrección para que puedan corregir sus propios registros, pudiendo requerir una auditoría de información de toda la empresa o de zonas particulares dentro de ella.

 

Bases legales para el procesamiento de datos personales: es necesario examinar cómo se procesan los datos personales e identificar la base legal en la que se llevan a cabo y documentan estos procesos, teniendo en cuenta que el consentimiento es sólo una de las diferentes formas de legitimar la actividad de procesamiento.

Cómo lo hacemos
La adecuación de las empresas para que cumplan el GDPR no consiste en una única solución informática sino a la implantación de una serie de medidas técnicas, legales y organizativas lo que hace necesario el uso de una metodología que no pierda de vista toda la complejidad del proyecto.
Esta primera fase de auditoría nos permite recopilar toda la información necesaria estudiando tanto las soluciones informáticas, los textos legales y el personal que trabaja usando datos personales para poder hacer una planificación posterior. Se trata de:

 

  • Identificar los roles según el reglamento.
  • Tener una imagen clara acerca de:
    • Qué datos personales está usando.
    • Quién tiene accesos a esos datos personales.
    • Dónde y cómo están almacenados esos datos.
    • Cuándo son borrados los datos personales.
    • Cómo se borran esos datos.

 

Identificaremos tus necesidades para trabajar con los datos personales y haremos un mapa de cómo están siendo usados en la empresa actualmente.

 

Haremos un informe con nuestros hallazgos y las medidas que se deben llevar a cabo.

  • Identificar y dar las directrices necesarias al equipo y evaluar todas las tareas.
  • Asignar recursos tanto interna como externamente.
  • Planificar y estimar el plan a seguir identificando y definiendo los puntos críticos.
  • Identificar el agente de cambio dentro de la organización.

 

El resultado será la planificación de un proyecto con unas metas claras definidas, un equipo con roles y responsabilidades claramente definidos para conducir y completar las fases del proyecto.

El resultado será la implantación de una serie de soluciones que adecuarán a la compañía al cumplimiento del reglamento. Algunas de las medidas a implantar son:

 

  • Establecer y crear documentación y políticas de uso de datos.
  • Revisar los textos legales concernientes a los datos personales.
  • Agregar procesos de datos.
  • Políticas internas.
  • Procedimientos operacionales para borrado y portabilidad de los datos.
  • Procedimientos operacionales sobre qué hacer en caso de una brecha en la seguridad.
  • Arquitectura IT sobre cómo y dónde los datos son almacenados y recibidos/enviados.
  • Educación interna.
  • Nuevas medidas de seguridad.
  • Revisar el actual modelo de negocio.

 

Contraseñas y cuentas de usuarios.

Comprobar a final de proyecto que ninguna cuestión se ha olvidado y planificar una nueva revisión para comprobar que pasado un tiempo han sido efectivos los cambios a nivel organizativo, técnico y legal.

Si tienes cualquier pregunta no dudes en ponerte en contacto con nosotros.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies