Las sociedades tendrán que adoptar medidas técnicas y organizativas para garantizar un nivel de seguridad del tratamiento de información personal
En los últimos meses se habla de la necesidad que tienen las entidades de adaptarse a la nueva normativa de protección de datos, pero resulta algo más complejo saber en qué se traduce la obligación de esta práctica. El nuevo Reglamento de Protección de Datos impone a las empresas la implantación de una política de protección de datos ‘desde el diseño’ y ‘por defecto’, lo que quiere decir que el empresario asume un compromiso de proactividad en el cumplimiento de la normativa de protección de datos de su compañía: debe adoptar las medidas técnicas y organizativas apropiadas, con el fin de garantizar un nivel de seguridad del tratamiento de datos personales adecuado al riesgo que conlleva, y no debe tratar más datos personales que los estrictamente necesarios para cada una de las finalidades del tratamiento que realicen.
Para cumplir con la normativa de protección de datos, es necesario contar con el asesoramiento apropiado de expertos en privacidad y protección de datos. Por ello, en Carrillo Asesores cuentan con un equipo formado por profesionales especializados y colaboradores externos que ayudan a proteger la empresa y a prevenir sanciones. Para ello, informan a las empresas de las novedades en esta normativa para que estén al tanto de las principales tareas que conlleva su implantación.
Para algunas entidades, este Reglamento supone el punto de partida, ya que no tenían implantada la anterior Ley de Protección de Datos y deberán adaptarse desde cero. Para otras, conllevará un proceso de cambios en la política de protección de datos que ya tenían implantada.
En primer lugar, hay que analizar la necesidad de nombrar un Delegado de Protección de Datos (DPO), que será obligatorio en entidades públicas y también en entidades privadas en caso de que la compañía realice tratamientos de datos personales a gran escala. Estarán especialmente protegidas las categorías especiales de datos como salud, datos genéticos y biométricos, origen racial, convicciones religiosas, afiliación sindical, etc. El DPO se encargará de informar y asesorar a la compañía y a sus empleados de sus obligaciones en protección de datos, de supervisar el cumplimiento de las mismas y de actuar como ‘punto de contacto’ con la autoridad de control.
En segundo lugar, hay que solicitar el consentimiento expreso e inequívoco para el tratamiento de datos personales en caso de que sea obligatorio, y deberá basarse en una acción afirmativa del interesado, no siendo válidos los consentimientos obtenidos de forma tácita o por omisión. En cuanto al envío de publicidad, a partir del 25 de mayo será necesario haber obtenido el previo consentimiento expreso e inequívoco del interesado para enviarle publicidad.
Adecuar la información sobre los procedimientos de recogida de datos personales es otra de las tareas a realizar: identidad de la empresa, datos del DPO, finalidad y base jurídica del tratamiento, destinatarios de los datos personales, intención de transferir datos a otro país u organización internacional, plazo de conservación de los datos, posibilidad de ejercitar sus derechos y presentar una reclamación ante la autoridad de control… Dicha información debe ser concisa, inteligible y de fácil acceso, con un lenguaje claro y sencillo, evitando el uso de párrafos farragosos y remisiones a los textos legales.
También es necesario realizar:
Un análisis de riesgos para concretar qué medidas técnicas y organizativas son apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los datos para las personas, tales como la seudonimización, cifrado de datos personales, procedimientos para restaurar la disponibilidad de los datos.
Una evaluación de impacto, previa al tratamiento, en caso de que el tratamiento de los datos conlleve un alto riesgo para los derechos y libertades de las personas físicas; elaborar un registro de actividades del tratamiento en el que se detalle las categorías de datos personales y de interesados que trata la compañía, la finalidad de los tratamientos de datos personales y una descripción general de las medidas técnicas y organizativas adoptadas.
Por último, para acogerse a la nueva normativa de protección de datos hay que establecer un procedimientos para atender los derechos de acceso, rectificación, supresión, limitación del tratamiento y portabilidad de los datos personales de los interesados, así como a retirar el consentimiento prestado; adaptar los contratos de acceso a datos entre el responsable y el encargado del tratamiento; adecuar las cesiones de datos y las transferencias internacionales de datos a la nueva normativa y adaptar la política de privacidad y de protección de datos de la página web corporativa al nuevo Reglamento.
Todas estas medidas implantadas deberán estar debidamente documentadas, pues el empresario deberá demostrar, en su caso, que está cumpliendo con lo dispuesto en la normativa actual para evitar sanciones.
Cada empresa y entidad pública tiene sus propias características y trata los datos personales de forma distinta, por lo que la adaptación al Reglamento y su política de privacidad corporativa serán diferentes. «En cualquier caso, el hecho de implantar la nueva normativa no lo es todo. El cambio legislativo conlleva tener presente la normativa de protección de datos como parte de la estrategia empresarial», señalan desde el Departamento de Consultoría de Carrillo Asesores.
Es decir, antes de poner en marcha una nueva iniciativa empresarial (lanzar un nuevo producto al mercado, establecer nuevos canales de venta…), es necesario realizar una evaluación de impacto de los tratamientos de datos que se vayan a realizar, para comprobar si dichos tratamientos conllevarán un alto riesgo para los derechos y libertades de las personas y, en su caso, establecer medidas para reducir el riesgo.
*Artículo publicado en La Verdad
Cristina Pérez Marín
Abogada, especialista en Derecho Digital en Carrillo Asesores.