Fundamentos Legales

El Reglamento (UE) 2016/79 del Parlamento Europeo (RGPD) planteado para proteger el derecho a la intimidad de las personas físicas, y elevarlo a la categoría de derecho fundamental

Este derecho puede ser vulnerado por elementos internos en las empresas, y externos (uso de las modernas tecnologías). Se ha traducido a menudo en abusos producidos por el mercantilismo de dichos datos.

Por otra parte y desde el punto de vista de la seguridad, en los últimos tiempos se ha observado un incremento realmente preocupante de amenazas informáticas que atentan directamente contra la seguridad de la información. En lo que concierne a las empresas esto representa un serio peligro, tanto para la confidencialidad de sus datos, como para la disponibilidad e integridad de los mismos, dado que son susceptibles de ser copiados, divulgados o destruidos; resultado en un deterioro significativo de la imagen de la empresa, e incluso, en un incumplimiento normativo que pueda derivar en sanciones.

La Agencia Española de Protección de Datos es el organismo oficial encargado de velar por el cumplimiento del citado Reglamento.

La Agencia Española de Protección de Datos es el organismo oficial encargado de velar por el cumplimiento del citado Reglamento.

El objeto a proteger son todos aquellos datos de personas físicas que se hallen en nuestros ficheros, ya sean informáticos o en papel

Tipos de Datos

Atendiendo al tipo de datos almacenados se establecen dos niveles de seguridad:

  • Datos de identificación de cualquier tipo: Nombre, Apellidos, DNI, Dirección de Correo electrónico, Dirección física, Imágenes, etc.

  • Datos de Categoría especial:  origen racial, salud, vida sexual, creencias religiosas, ideología política, afiliación sindical, datos genéticos o biométricos, etc

Principios

Las organizaciones han de atender al Principio de Responsabilidad Proactiva, definido como la necesidad de que el responsable (la empresa) aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento de los datos personales es conforme al Reglamento. Para ello se debe realizar un Análisis de Riesgos, de obligado cumplimiento que sirve como guía a la hora de tratar los datos e indicar los sistemas de seguridad a aplicar. Este documento es preceptivo y debe ser mantenido permanentemente actualizado, recogiendo en él los cambios que se produzcan en el ámbito afectado por el Reglamento.

También han de crearse los protocolos y documentos que garanticen el correcto uso de la información, el cumplimiento del principio de información y, en caso de cesión de datos o tratamiento por terceros, los Contratos de Tratamiento de Datos correspondientes; además de que se debe garantizar el ejercicio de derechos por parte de los interesados (los propietarios de los datos personales) contra la empresa, y la correcta gestión de las notificaciones de las violaciones de seguridad a la Agencia Española de Protección de Datos.

Por último, la ley establece que en función del tamaño de la empresa, puede ser obligatoria la creación de un Registro de Actividades de Tratamiento, y , en función de la sensibilidad de los datos a tratar, una Evaluación de Impacto sobre la Protección de Datos

 

Procedimiento Sancionador

Es obligatorio el cumplimiento del RGPD para todas aquellas empresas que dispongan de datos de personas físicas en sus ficheros desde el 25 de mayo de 2018. La no observancia de la citada ley está penada con sanciones que, en función de la gravedad, pueden alcanzar los 20.000.000 €, o el 4% de la facturación del ejercicio anterior.

Además, la Agencia Español de Protección de Datos, emite Instrucciones de obligado cumplimiento y documentos jurídicos que orientan en la forma correcta de interpretar determinados aspectos de esta legislación.

Proceso de adaptación

Fase I

En primer lugar se cumplimenta un pequeño cuestionario inicial que refleja las características de la empresa. Pariendo de él, elaborar el presupuesto que se presentará al cliente para su aceptación. Una vez aprobado, se confeccionará el contrato correspondiente.

De esta forma, evitaremos relajaciones respecto del cumplimiento legal, que pueden conllevar sanciones importantes.

Fase II

Se recopilan los datos de personal, equipos, ficheros, sistemas de seguridad, etc. y, tras su análisis, se elabora el Análisis de Riesgos que nos proporciona el Informe de Estado, el cual nos indica tanto el estado actual de la empresa con relación a la RGPD, como las modificaciones y mejoras necesarias para culminar el proceso de adaptación.

Fase III

Se da cumplimiento a los requerimientos específicos del Reglamento.

  • Definición de bases de legitimación apropiadas para cada  tratamiento de datos realizados en la empresa. Estos pueden ser consentimiento, relación contractual, interés legítimo del Responsable, …)
  • Cumplimiento del deber informativo sobre la adaptación al RGPD de la empresa.
    • Nivel interno (comunicaciones a trabajadores)
    • Nivel externo (avisos legales en web, firmas de correo, Política de Protección de Datos de la empresa).
  • Procedimiento de ejercicio de derechos ARSO (Acceso, Rectificación, Supresión y Oposición)
  • Contratos de encargo de tratamiento con sus proveedores y partes externas
  • Implementación de las medidas de seguridad, a nivel técnico y organizativo, derivadas del Análisis de Riesgos realizado
  • Procedimiento de Notificación de Violaciones de Seguridad a la Agencia Española de Protección de Datos, y del Registro correspondiente
  • Adecuación de las Transferencias Internacionales de Datos que realice la empresa. Cualquier proveedor o cliente extranjero podría entrar en esta clasificación
  • Creación, si es necesario, del Registro de Actividades de Tratamiento, recogiendo los procesos de tratamiento de datos
  • Al detectar el tratamiento de datos de categoría especial, se realizaría una Evaluación de Impacto sobre la Protección de Datos
  • Evaluación de la conveniencia u obligación de implementar la figura de un DPD (Delegado de Protección de Datos) en la empresa.

Mantenimiento del sistema

Ofrecemos servicios de mantenimiento del sistema que pueden abarcar los aspectos siguientes:

  • Asesoramiento continuo, mediante consultas telefónicas ilimitadas.

  • Confección y revisión de contratos y cláusulas legales, en relación con el tratamiento de datos personales.

  • Auditoría del sistema, con la periodicidad que se acuerde

  • Revisión de notificaciones de interesados, ejerciendo sus derechos de acceso, rectificación, oposición o cancelación.

  • Atención presencial si es preciso, ante las posibles inspecciones/notificaciones realizadas por parte de la Agencia Española de Protección de Datos.

  • Notificación vía email de los cambios legislativos en materia de Protección de Datos