Adaptación a la normativa lopd -rgpd empresas y autónomos

El REGLAMENTO (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) 

Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD también llamada LOPDGDD)

El Reglamento General de Protección de Datos 2016/679 (RGPD) es una normativa de la Unión Europea que establece directrices sobre la protección de datos en los países que conforman la unión europea. La transposición de dicho reglamento europeo de protección de datos a la legislación europea se regula en la Ley Orgánica de Protección de Datos 3/2018 (LOPD). Ambas son fundamentales para cualquier empresa que maneje datos personales dentro de España y la UE, respectivamente. Estas leyes no solo protegen los derechos de los individuos sobre sus datos personales, sino que también establecen un marco de confianza y seguridad, esencial para operar en el mercado actual.

Realizar un inventario con los datos que se tratan: Analizar qué datos se recaban, con que finalidad, cuanto tiempo se conservan los datos en nuestros sistemas, como custodiamos estos datos y si los datos son cedidos a terceros.

Cada una de las actividades que se lleven a cabo con datos personales deberá verificarse si cada principio se aplica correctamente, mediante la adopción de medidas concretas que lo permitan.

Analizar los riesgos y establecer las medidas de seguridad: Un análisis de riesgos en protección de datos es un proceso esencial para identificar, evaluar y mitigar los riesgos asociados al tratamiento de datos personales. Este análisis ayudara a establecer medidas de seguridad para salvaguardar los datos personales ante la disponibilidad, la integridad y la confidencialidad de dichos datos. Este proceso permite a las organizaciones:

Cumplir con el RGPD: El Reglamento General de Protección de Datos (RGPD) exige que las empresas realicen un análisis de riesgos para determinar qué medidas de seguridad son necesarias para proteger los datos personales.

Proteger los derechos de los interesados: El análisis de riesgos ayuda a identificar y prevenir posibles daños a los derechos y libertades de las personas físicas, como la discriminación, la pérdida de control sobre sus datos o el robo de identidad.

Minimizar el impacto de las brechas de seguridad: Un análisis de riesgos efectivo puede ayudar a reducir el impacto de una brecha de seguridad al identificar las vulnerabilidades y tomar medidas para prevenirlas o mitigarlas.

Optimizar la gestión de datos: El análisis de riesgos permite a las empresas optimizar la gestión de sus datos al identificar los procesos que no son necesarios o que presentan un alto riesgo.

Todo tratamiento de datos debe realizarse conforme al RGPD y LOPDGDD, lo que se traduce en la necesidad de adoptar numerosas medidas, de índole jurídico, técnico y organizativo, que deberán diseñarse en función de las características de dichos tratamientos. Entre ellas la elaboración del Registro de las actividades de tratamiento llamado (RAT)

La creación y mantenimiento del Registro de las actividades de tratamiento (RAT) debe realizarse conforme al RGPD y LOPDGDD y  forma parte de las medidas de responsabilidad proactiva que establece el RGPD, y afecta tanto a responsables como a encargados del tratamiento.

Puede decirse que la elaboración del “Registro de actividades” RAT constituye la base del proceso de adecuación de toda organización al RGPD, siendo imprescindible que su contenido refleje fielmente en todo momento la realidad de los tratamientos de datos que realiza.

De acuerdo con el artículo 30 RGPD, el contenido mínimo del registro de actividades RAT  para responsables del tratamiento del tratamiento debe incluir:

• datos identificativos y de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;

• los fines del tratamiento;

• una descripción de las categorías de interesados y de las categorías de datos personales;

• las categorías de destinatarios de los datos personales;

• en su caso, las transferencias de datos personales a un tercer país;

• los plazos previstos para la supresión de las diferentes categorías de datos;

• una descripción general de las medidas técnicas y organizativas de seguridad.

• Aunque el RGPD no lo requiera, es más que conveniente que el RAT refleje también las bases jurídicas que legitiman cada actividad de tratamiento, como forma de documentar el análisis realizado del requisito de licitud.

Para elaborar el registro de actividades se requiere:

• identificar todas las operaciones de tratamiento de datos personales de la organización, tanto las realizadas como responsables como las llevadas a cabo por cuenta de responsables;

• agrupar y clasificar dichas operaciones en base al criterio de la finalidad básica común de cada grupo de operaciones;

• recopilar toda la información indicada en el apartado anterior para cada actividad de tratamiento, atendiendo al ciclo de vida completo de los datos;

• asignar responsables en la organización para el mantenimiento actualizado del RAT y documentar el procedimiento a seguir para su revisión periódica.

• El RAT debe constar por escrito, ya sea en formato papel o electrónico.

En Datusmas te redactamos el “Registro de actividades” en base a los tratamientos de datos que realice tú organización como pueden ser: clientes, proveedores, empleados, Videovigilancia, etc

El derecho a la información es el derecho que tienen los interesados a ser informados por el responsable acerca de los fines y demás circunstancias del tratamiento de sus datos. Por tanto, al derecho de información de los interesados le corresponde el deber de información a cargo del responsable del tratamiento. 

De acuerdo a la normativa de protección de datos, el interesado tiene, además, un derecho a la transparencia de toda información recibida del responsable sobre el tratamiento de sus datos, de manera que dicha información le sea facilitada en forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo, evitando el uso de textos que por su complejidad o extensión impidan o dificulten una comprensión de la información

Cuando el tratamiento se basa en el consentimiento del interesado, la transparencia de la información facilitada al mismo es requisito ineludible para la validez del consentimiento. 

 En cuanto al deber de información del responsable, su alcance depende de la procedencia de los datos: 

Cuando los datos personales se obtengan directamente del propio interesado, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación: 

• la identidad y los datos de contacto del responsable y, en su caso, de su representante; 

• los datos de contacto del delegado de Protección de Datos, en su caso; 

• los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento; 

• en su caso, los intereses legítimos del responsable o de un tercero en que se base el tratamiento; 

• los destinatarios o las categorías de destinatarios de los datos personales, en su caso; 

• en su caso, la intención del responsable de transferir datos personales a un tercer país y los mecanismos que lo habilitan; 

• el plazo durante el cual se conservarán los datos personales; 

• la posibilidad y el modo de ejercer los derechos del interesado ante el responsable del tratamiento; 

• cuando el tratamiento esté basado en el consentimiento, la existencia del derecho a retirar el consentimiento en cualquier momento; 

• el derecho a presentar una reclamación ante una autoridad de control; 

• si la comunicación de datos personales por el interesado es un requisito legal o contractual y las posibles consecuencias de que no facilitar los datos; 

• en su caso, información sobre la existencia de decisiones automatizadas, incluida la elaboración de perfiles. 

El cumplimiento del deber de información hace necesario redactar cláusulas informativas y políticas de privacidad, mediante las que el interesado pueda conocer las circunstancias del tratamiento de sus datos. 

Para redactar estas cláusulas la LOPDGDD promueve en su artículo 11 un modelo de información basado en 2 capas o niveles: 

• 1ª capa: consistente en una información básica, a incluir en el medio utilizado para la recogida de los datos y 

• 2ª capa: consistente en una información adicional y detallada, en la que, además de completar detalladamente la información de la 1ª capa, se añada información adicional. Normalmente, la información de la 2ª capa se incluye en la política de privacidad que la organización publique en su página web. 

Las medidas de seguridad que debes aplicar para proteger los datos personales deben ser proporcionales al riesgo asociado al tratamiento de los datos personales y para ello se debe de realizar un análisis de riesgos como hemos explicado anteriormente.  Algunas medidas de seguridad que puedes aplicar son:

Implementar un sistema de gestión de seguridad de la información: Desarrollar e implementar políticas, procedimientos y controles de seguridad que protejan la confidencialidad, integridad y disponibilidad de los datos personales. Esto incluye medidas técnicas, organizativas y físicas.

Formar al personal: Asegúrese de que todos los empleados que manejan datos personales estén debidamente capacitados en temas de seguridad y protección de datos.

Implementar medidas técnicas de seguridad: Utilice herramientas y tecnologías como cifrado, autenticación, control de accesos, copias de seguridad, entre otras, para proteger los datos.

Establecer procedimientos de respuesta ante incidentes: Desarrolle e implemente un plan de acción para detectar, reportar y responder ante posibles brechas de seguridad o violaciones de datos personales.

Alicante, Gandia, Alcoy, Almería, Cádiz, Córdoba, Granada, Huelva, Jaen, Málaga, Sevilla, Huesca, Teruel, Zaragoza, Asturias, Avilés, Gijón, Oviedo, Baleares, Ibiza, Mallorca, Menorca, Cantabria, Santander, Albacete, Ciudad Real, Cuenca, Guadalajara, Toledo, Avila, Burgos, León, Palencia, Salamanca, Soria, Valladolid, Zamora, Barcelona, Girona, Lleida, Tarragona, Valencia, Murcia, Castellón, Extremadura, Badajóz, Cáceres, Galicia, La Coruña, Lugo, Ourense, Pontevedra, Vigo, Canarias, Las Palmas de Gran Canaria, Tenerife, La Rioja, Logroño, Madrid, Melilla, Navarra, Pamplona, Alava, Vitoria, Guipúzcoa, San Sebastián, Vizcaya, Bilbao

No cumplir con la LOPD y RGPD puede resultar en consecuencias graves para las empresas. Esto incluye sanciones económicas que pueden llegar a ser muy elevadas, dependiendo de la gravedad del incumplimiento. Además, el no cumplimiento puede dañar significativamente la reputación de la empresa, afectar la confianza de los clientes y socios, y resultar en pérdidas de oportunidades de negocio. También hay un riesgo legal aumentado, ya que las partes afectadas pueden tomar acciones legales contra la empresa.