NOVEDADES

Protección de los datos desde el diseño y por defecto: Aquí nos encontramos con el conocido principio de Privacy By Design, mediante el cual las entidades deberán diseñar sus procesos y sistemas pensando en la protección de los datos.

Accountability (rendición de cuentas): Las entidades, tanto responsables como encargadas de tratamiento están obligadas a demostrar que sus actividades de tratamiento cumplen con los principios recogidos en el RGPD.

Obligación de notificación de Violaciones de seguridad: Los ataques que sufran las entidades y produzcan una vulneración de los datos o su seguridad, deben ser notificados a la Autoridad Competente en un plazo máximo de 72 horas. Además si estamos hablando de datos críticos también se deberá de informar a los afectados.

Figura del Delegado de Protección de datos: El nuevo marco de responsabilidad proactiva que inculca el Reglamento General de Protección de Datos hace necesaria la aparición del Delegado de Protección de Datos, como máximo responsable dentro de la entidad de las actividades de tratamiento.

Elaboración de evaluación de impacto: La realización de análisis de riesgos es imprescindible para analizar antes del inicio de cada nuevo tratamiento todas las implicaciones para la seguridad de los datos así como el cumplimiento estricto de la normativa. El DPO supervisará dicha elaboración.

Más información a los afectados por el tratamiento: Se deberá ampliar la información que se da a los interesados, con avisos de tratamiento de datos más detallados y específicos, como por ejemplo los datos de contacto del DPO, la legitimación para la recogida de los datos, etc. El consentimiento pasa a ser explícito.

Mayores derechos para los titulares de los datos: Los interesados van a disponer de mayor decisión sobre el tratamiento de sus datos, podrán rechazar el tratamiento de toma de decisiones de manera automática, así como cierto tipo de elaboración de perfiles. Podrán solicitar también el borrado de datos innecesarios.

Registros en el almacenamiento de la información: Con la eliminación de la obligación de notificar a la Agencia Española de Protección de Datos los tratamientos de datos de la entidad, se crea el Registro de las Actividades de Tratamiento, que no deja de ser un registro interno y categorizado de estas actividades.

PROCEDIMIENTO

A continuación mostramos el procedimiento que Gabitel Solutions seguirá para implantar el RGPD en su entidad:

1. Evaluación de la situación de partida. El primer paso para la implantación del RGPD es el análisis de los procedimientos actuales de tratamiento de datos. Para ello solicitaremos la última auditoría (si la hubiera), así como también el Documento de Seguridad.
2. Análisis de las actividades de tratamiento. Evaluar la actual arquitectura de datos, procesos y controles de riesgos, así como el cumplimiento normativo de la organización.
3. Resultado de los análisis y establecimiento de hoja de ruta para la implantación. Una vez identificados los actuales riesgos y comprobado el grado de preparación de la entidad, se desarrollará una dirección en la que enfocar la implantación para incorporar los procedimientos diseñados de la privacidad. Así mismo, se garantizará que los recursos de la entidad son suficientes para la consecución de este plan.
4. Implantación. En primer lugar se nombrará un Gestor Personal, el cual se encargará de:
   • Documentar e identificar las actividades de tratamiento de datos.
   • Realización de Evaluaciones de Impacto si fueran necesarias.
   • Desarrollo de procedimientos en respuesta a posibles violaciones de datos.
   • Diseño de procedimientos de información y atención a los titulares de los datos.
   • Redacción de la documentación necesaria como nuevas clausulas para los contratos de encargo de tratamiento.
   • Adaptación de los procesos informáticos al nuevo paradigma normativo.
   • Elaboración de una política detallada de protección de datos, así como de una definición de un estándar de cumplimiento.
   • Nombramiento de un Delegado de Protección de Datos si lo exigiera la norma, así como el establecimiento de sus funciones.
5. Puesta a prueba de la eficacia de los procedimientos: realización de un examen de los procedimientos implantados y puesta a prueba de los mismos, poniendo en el punto de mira su adecuación total al Reglamento General de Protección de Datos.
6. Mejora continua de los procedimientos:
   • Ejecución de revisiones periódicas
   • Elaboración de nuevos procesos para nuevos tratamientos.
   • Revisiones periódicas de las necesidades de formación del personal de la entidad.
   • Evaluación de nuevas propuestas tecnológicas para la mejora de la seguridad por nuestros expertos informáticos.

La responsabilidad proactiva que nos inculca el RGPD nos hace estar siempre vigilantes y en constante cambio para el cumplimiento total y absoluto de la normativa vigente.

DPO

El Delegado de Protección de Datos, o DPO, es una de las principales novedades del RGPD, si necesita externalizar este servicio se le asignará un abogado certificado, el cual:

1. Asesorará a la entidad, a sus empleados y a los encargados que se ocupen de los tratamientos de las obligaciones que les incumben en virtud de la normativa.
2. Supervisará el cumplimiento de la normativa, así como asignará responsabilidades y concienciará al personal que participa en las operaciones del tratamiento.
3. Realizará las auditorías correspondientes para evaluar los riesgos de los tratamientos.
4. Asesorará sobre las Evaluaciones de Impacto que sean pertinentes y supervisará su aplicación.
5. Figurará en el registro que elabore la AEPD como DPO de su entidad.
6. Actuará como punto de contacto con la AEPD para cuestiones relativas al tratamiento.
7. Asistirá al afectado en el caso de solicitud de derechos.

Para el ejercicio de sus funciones como DPO deberá tener acceso a todos los datos personales y procesos del tratamiento, no pudiendo oponerse a este acceso la entidad o el encargado de tratamiento.