¿Cómo es una implantación RGPD? Guía actualizada

Desde la entrada en vigor del RGPD en mayo de 2018 en España, cualquier tipo de organización, pública o privada, así como profesionales que traten con datos personales de ciudadanos de la UE, independientemente de dónde se encuentre su sede, deben cumplir con las obligaciones de este Reglamento.

Se basa en principios como la transparencia y la accesibilidad, la responsabilidad y la gestión de la información personal. De manera que, es importante tener en cuenta que incluso si la empresa no es europea, si ofrece servicios en el ámbito de la UE, también debe cumplir el RGPD. Se incluye también a la Administraciones Públicas, asociaciones, comunidades de propietarios, etc.

Pasos para la implantación RGPD

La adaptación a la protección de datos conlleva cumplir una serie de requisitos y en función de la cantidad y el tipo de información y datos que traten, estas serán más o menos estrictas y complejas.

A continuación, detallaremos los pasos para la implantación RGPD en empresas y organizaciones.

Cumplir los principios de protección de datos

Lo primero es cumplir con los principios de protección de datos establecidos por el RGPD y demostrarlo, es decir, tener responsabilidad proactiva.

Los principios de protección de datos son:

• Licitud, transparencia y lealtad: Este principio obliga a informar a los usuarios ya a tratar sus datos cuando nos den su consentimiento o podamos hacerlo por ley.
• Limitación de la finalidad: Los datos se recogen y tratan con unos determinados fines, nunca serán utilizados para otros fines distintos.
• Minimización de datos: Se recogerán los datos estrictamente necesarios para cumplir con la finalidad.
• Exactitud: Los datos estarán actualizados, así que tienen que eliminarse o corregirse cuando cumplan su objetivo o sean erróneos.
• Limitación del plazo de conservación: Los datos se conservarán durante e tiempo necesario para cumplir con su finalidad.
• Integridad y confidencialidad: Debe garantizarse la seguridad y privacidad de los datos, llevando a cabo acciones para evitar su pérdida, destrucción o accesos no autorizados.

Determinar qué tipos de datos personales se van a tratar

Es necesario saber el tipo de datos que se va a tratar, su volumen y si el tratamiento va a ser habitual para determinar las obligaciones que se han de cumplir en la implantación RGPD y que nos ayudará a decidir las medidas de seguridad a aplicar.

Se distinguen dos categorías de datos:

Básicos: Tienen un nivel de riesgo menor en cuando a derechos y libertados de los interesados (estos datos son: identificativos, laborales, educativos…)

Categorías especiales que tienen más riesgos para los interesados y son:

• Datos de origen racial o étnico
• Opiniones políticas
• Creencias religiosas o filosóficas
• Afiliación sindical
• Datos genéticos
• Datos biométricos cuyo objetivo sea identificar al individuo
• Datos relativos a la salud
• Datos relativos a la vida sexual y/o la orientación sexual

Realizar el análisis de riesgos y la evaluación de impacto

El siguiente paso en la implantación RGPD es el análisis de riesgo y la EIPD (evaluación de impacto en protección de datos) para conocer los riesgos para los derechos y libertades de los usuarios que pueden derivarse del tratamiento de los datos.

Es decir, determinar si esas amenazas pueden darse o no (por ejemplo, el acceso no autorizado a una base de datos para robarla) y el impacto que tendría en los usuarios.

Será necesario realizar una evaluación de impacto en protección de datos (EIPD) cuando se traten datos de categorías especiales, sea una cantidad muy elevada o se determine un riesgo alto para los interesados en cuanto a sus derechos y libertades.

Del análisis de riesgos y la EIPD se obtendrán unas conclusiones que van a servir para determinar las medidas de seguridad a llevar a cabo para evitar riesgos y amenazas, y en el caso que ocurran que el impacto sea leve.

Hacer el registro de actividades de tratamiento

En una implantación RGPD se debe documentar y registrar los tratamientos de datos realizados durante el desarrollo de la actividad, por eso se deben hacer los registros de actividades de tratamiento.

Los registros deben hacerlo obligatoriamente las empresas de más de 250 empleados o si se tratan datos especiales, o se tratan datos de manera habitual o a gran escala.

La información mínima que se debe incluir es:

• Identidad del responsable del tratamiento.
• Finalidad del tratamiento.
• Descripción de categorías de interesados y categorías de datos.
• Descripción de categorías de destinatarios.
• Transferencias internacionales de datos y sus garantías.
• Descripción de las medidas de seguridad aplicadas (siempre que sea posible aportar esta información sin que suponga un riesgo para misma).
• Plazos de conservación de los datos previstos.

Aplicar las medidas de seguridad

Como responsables del tratamiento, hay que aplicar medidas técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos recabados y almacenados en nuestros sistemas informáticos o archivos físicos.

Hay distintas medidas a llevar a cabo, como la determinación de roles para limitar accesos a bases de datos, soluciones de ciberseguridad, formación y concienciación, pero siempre han de dar solución a los riesgos que se han detectado previamente en el análisis y la EIPD.

Determinar si se necesita un DPO (Delegado de Protección de Datos)

Se necesitará un DPO, de acuerdo con el Artículo 37 del RGPD, cuando:

• El tratamiento lo haga un organismo público (excepto tribunales en función judicial).
• Se traten datos a gran escala.
• Se traten datos a gran escala de categorías especiales.

El DPO puede ser un empleado interno de la empresa que tenga los conocimientos necesarios en protección de datos o puede contratarse como servicio externo, en Dolbuck también ofrecemos servicios de DPO.

Contrato de encargado del tratamiento si se ceden datos a terceros

Puede darse que para otros trámites o para cumplir ciertas obligaciones se tengan que ceder los datos personales tratados a un tercero y este tenga acceso a ellos y realice algún tratamiento que se le encargue, para ello debe firmar el contrato de tratamiento.

En el contrato se reflejarán las obligaciones del encargado, los tratamientos de datos que hará, las medidas de seguridad, el objetivo de los tratamientos, los plazos de conservación y qué hacer con los datos una vez cumplido su objetivo.

Informar a los interesados

Para cumplir con el principio de transparencia, el responsable del tratamiento debe informar a los interesados de todo lo relacionado con el tratamiento de sus datos, la forma de gestionarlos y lo que implica el tratamiento.

Por lo tanto, debemos informar sobre:

• Identidad y datos de contacto del responsable del tratamiento y del DPO en caso de necesitarse.
• Finalidad del tratamiento.
• Legitimidad del tratamiento.
• Si los datos se van a ceder a terceros.
• Si se van a hacer transferencias de datos internacionales (fuera de la UE).
• Plazo previsto de conservación de los datos.
• Cómo pueden ejercer y por qué medio sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
• La posibilidad de reclamar ante la Agencia Española de Protección de Datos (AEPD).

Todo esto debe informarse a los interesados previamente al tratamiento de datos y se puede hacer de distintas maneras en función del momento y la finalidad de la recopilación de datos.

Un ejemplo sería el enlace a la política de privacidad antes de enviar los datos en un formulario de contacto de una página web.

Solicitar el consentimiento expreso

A no ser que se de uno de los supuestos del artículo 6, el consentimiento será siempre la base legitimadora para el tratamiento de datos personales.

Debe ser expreso (el consentimiento), es decir, mediante una acción afirmativa, como la firma de un contrato. Y debe ser informado de la finalidad.

Este consentimiento debe quedar registrado para poder demostrar que se obtuvo, por lo que la implantación RGPD tiene que contar con los medios técnicos necesarios para ello (como puede ser un software de gestión de protección de datos).

Obligaciones RDPG para una página web

Si tenemos una página web, esta debe cumplir con las siguientes obligaciones:

• Tener una página de política de privacidad.
• Tener una página de política de cookies.
• Aviso de cookies.
• Adaptar los formularios.
• Tener el aviso legal.

Establecer un protocolo para informar las brechas de seguridad

Una implantación RGPD de manera adecuada, debe tener un protocolo de seguridad a seguir en caso de pérdida, robo, modificación o destrucción de datos y que permita detectar brechas de seguridad y pueda gestionarlas y reportarlas.

La notificación de una brecha de seguridad se debe hacer a la AEPD y a los afectados en un plazo menor a 72 horas desde que se ha detectado la brecha.

Implantar el RGPD en tu empresa

La implantación RGPD en una empresa u organización implicar cumplir con los pasos que hemos visto, para ello se deben tener conocimientos suficientes en protección de datos, ya que hay que redactar documentos, textos legales, contratos.

Además, también es importante responder a las reclamaciones que puedan hacer los interesados y mantener las medidas de seguridad tras el análisis.

Es recomendable contratar a una empresa experta en protección de datos para realizar la implantación RGPD de la forma más óptima, por eso te recomendamos contactar con Dolbuck. Nos aseguraremos de cumplir las obligaciones legales en materia de protección de datos en tu empresa y tendrás un servicio de atención para cualquier duda que pueda surgir.

Precio de una implantación RGPD

El precio de la implantación RGPD va a depender de tu empresa, de sus necesidades, el tipo de datos que se gestionen y la cantidad, las obligaciones en materia de protección de datos que se deban cumplir… Asegúrate de que tu empresa cumple en materia de protección de datos y cuenta con los mejores profesionales para ello.

Si quieres más información sobre este servicio, contacta con nosotros a través de [email protected] o llamando al 900 52 52 45.