Cambios del nuevo reglamento de protección de datos para las organizaciones. Aspectos prácticos Nº 1
7, febrero 2017
Como ya os hemos ido informando a lo largo de 2016, en mayo del pasado año se publicó el nuevo Reglamento Europeo de Protección de Datos que unifica la normativa para todos los países de la UE. Dicha norma impone un cambio de ciento ochenta grados en cuanto al enfoque que debemos dar las organizaciones a la protección de datos personales, exigiendo a éstas pasar de la teoría a la práctica mediante la exigencia de responsabilidad proactiva, que consiste en garantizar el cumplimiento diligente y efectivo de la normativa, y ser capaz de demostrarlo.
A lo largo de 2017 vamos a realizar diversas acciones con nuestros clientes para ayudarles a llevar a cabo la adecuación de sus organizaciones a esta nueva normativa y, entre ellas, está la de enviar diversos artículos prácticos sobre qué cambios ha habido y cómo se deben afrontar en la práctica. Este es el primero de esa serie de artículos que irán numerados para que puedas si lo deseas recopilarlos de forma ordenada. Igualmente los publicaremos todos en nuestro sitio Web.
Como decimos, el cambio de enfoque es enorme: se pasa de un sistema bastante formalista y cerrado (nuestra actual ley y reglamento de protección de datos) a un sistema abierto basado en la gestión de riesgos, en línea con los modelos de compliance que ya vienen desarrollándose en materias como blanqueo de capitales, responsabilidad penal corporativa, gestión de la información (ISO 27001) … que se fundamentan en: identificar amenazas y posibles salvaguardas contra las mismas; estimar el posible impacto en la organización de esas amenazas, y el riesgo subsiguiente, y gestionar ese riesgo mediante controles e indicadores, revisando y actualizando el sistema permanentemente.
En estos modelos juega un papel esencial el compromiso, la concienciación y el impulso de la dirección de las organizaciones. Ya no sirve tener documentos almacenados en una carpeta y sin ninguna implantación real. Los líderes y el equipo directivo, dada su visión global de la organización, deben participar visible y activamente tanto en el enfoque inicial del proyecto y en el despliegue y supervisión de las distintas acciones derivadas del mismo, como en su mantenimiento y actualización constante y en la educación y concienciación del personal, para que sea el mejor activo de una buena seguridad en el tratamiento de datos personales.
El nuevo sistema se basa en la prevención y exige anticiparse a la infracción: las medidas ya no son cerradas e iguales para todos, sino que varían en función del riesgo que tenga cada organización. Se pasa de un modelo rígido a uno variable o dinámico; de hecho las medidas de seguridad que hasta ahora conocíamos o el hecho de notificar los ficheros a la Agencia de Protección de Datos dejan de ser obligatorias a partir de Mayo 2018. Desaparece el sistema de “talla única” que establece nuestra legislación española, con medidas iguales para todos, para pasar a un sistema de medidas personalizadas en función de cada organización, los datos que traten y sus riesgos concretos.
Las novedades son muchas y las vamos a ir tratando en los siguientes artículos: eliminación del consentimiento tácito, reconocimiento expreso del derecho al olvido y a la portabilidad de los datos entre proveedores de servicios, la obligación de notificar brechas de seguridad en los sistemas informáticos, obligación de nombrar, en determinados casos, un delegado de protección de datos, establecer criterios de privacidad por defecto y desde el inicio, necesidad de realizar evaluaciones de impacto en la protección de datos…
En la práctica, las organizaciones van a tener que realizar importantes cambios en la forma en que gestionan la protección de la privacidad en su día a día como:
- Analizar qué riesgos tienen en materia de protección de datos y disponer de medidas y procedimientos que permitan gestionarlos de forma adecuada
- Obtener el consentimiento inequívoco de las personas cuyos datos tratan y estar en condiciones de acreditarlo, lo que supone revisar todo el sistema de tratamiento de datos para ver si cumple con las nuevas necesidades.
- Establecer criterios temporales para limitar el uso de los datos y proceder a eliminarlos.
- Modificar la redacción de las cláusulas informativas para hacerlas más accesibles y comprensibles (especialmente a nivel de páginas web), para incluir en las mismas información adicional y obtener el consentimiento para las distintas finalidades para las que se vayan a tratar de forma acreditable…
Todo ello va a ser objeto de análisis a lo largo de los artículos que os vayamos enviando que van a ser muy prácticos y esperamos que os aporten soluciones.
En todo caso, como siempre recordamos que para cualquier duda o información adicional pueden contactar con nuestro Departamento de Derecho de las Nuevas Tecnologías llamando al 945 22 27 62 y preguntar por Luis Jorquera o bien enviar un e-mail a l.jorquera@grupovadillo.com
Posts relacionados
- Estudio sobre la valoración de la normativa sobre protección de datos en Álava
- Las empresas españolas aumentan su inversión en ciberseguridad
- ¿Big Data? También en mi empresa
- Aprobación de la Directiva sobre Ciberseguridad
- Publicidad Viral al descargarse una app, sanción de 10.000 € por envío de 2 emails publicitarios cuando el destinatario se había dado de baja
- Aprobación del Escudo de Privacidad entre Europa y USA
- Grupo Vadillo Asesores asiste a la 8ª Sesión Abierta de la Agencia de Protección de Datos
- El Nuevo Reglamento de Protección de Datos en 12 preguntas
- Cambios legislativos importantes en Protección de Datos
- Nuevo Reglamento de Protección de Datos de la UE: ¿Cómo va a afectar a mi empresa? (II)
- Nuevo Reglamento de Protección de Datos de la UE: ¿Cómo va a afectar a mi empresa? (I)
- Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox, Google Drive, Mailchimp, Facebook, Twitter, Instagram o Google Apss ¿Qué puedo hacer?
- ¿Me pueden mandar publicidad sin yo autorizarlo a mi dirección de correo electrónico profesional?
- Apertura y posterior archivo de procedimiento sancionador a persona física por publicar datos personales de terceros en su blog
- Los datos personales de los condenados por delito fiscal se van a poder hacer públicos a partir del 11 de noviembre de 2015
Comparte este artículo: