Pasar al contenido principal

RGPD y LOPDGDD

¿A quién va dirigido?

La regulación de la protección de datos personales es una regulación europea que afecta a todas las organizaciones, tanto públicas como privadas, grandes o pequeñas, cuando tratan ficheros automatizados con datos de carácter personal.

¿Qué es?

La regulación en materia de protección de datos personales está compuesta, en la actualidad, por un conjunto de dos documentos regulatorios:

  • El Reglamento General de Protección de Datos o RGPD (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE).
  • La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales).

Esta legislación regula a nivel europeo los principios de seguridad y privacidad que debe aplicar cualquier organización cuando trate datos de carácter personal. De manera general, regula, entre otros aspectos:

  • Los principios que debe aplicar cualquier organización cuando trate datos personales, así como los criterios que debe seguir para asegurarse de que dicho tratamiento se ajusta a la ley.
  • Los procedimientos generales que se deben aplicar para respetar los derechos de los interesados respecto de dicho tratamiento de datos personales.
  • Las responsabilidades que las organizaciones deben asumir por estar tratando datos personales.
  • Las obligaciones que las organizaciones deben cumplir en relación con dicho tratamiento de datos, y en particular, aquellas relativas a la seguridad de los datos personales y la notificación de brechas de seguridad en caso de que se produzcan.
  • Las sanciones que las organizaciones pueden recibir en caso de no cumplir con las exigencias que dicta la ley, que en el caso de las empresas pueden llegar a ser de 20.000.000€ o una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior.

Objetivos

Los objetivos de la regulación en materia de protección de datos personales se pueden resumir en los siguientes puntos:

  • Armonizar los derechos y obligaciones de las organizaciones en materia de protección de datos personales entre todos los estados miembro de la Unión Europea, de manera que sea coherente y homogénea.
  • Balancear la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos personales, garantizando un nivel uniforme y elevado de protección de las personas físicas.
  • Velar por que se pueda llevar a cabo, dentro de los márgenes anteriormente establecidos, la libre circulación de los datos personales entre los estados miembro de la Unión Europea.

Beneficios

El marco de seguridad y privacidad establecido por la regulación en materia de protección de datos personales beneficiará a las organizaciones afectadas desde diversos puntos de vista:

  • Será una garantía de seguridad y confianza a tus clientes actuales y potenciales, que podrán constatar a través de la Política de Privacidad.
  • Permitirá identificar riesgos de seguridad y privacidad no detectados, ya que requiere la realización de un análisis de riesgos.
  • Garantizará la adopción de medidas de seguridad apropiadas para la protección de los datos personales, proporcionales a los riesgos de seguridad identificados.
  • Favorecerá la interiorización de las consideraciones de la privacidad en la organización, ya que en muchos casos será necesario el nombramiento de una figura específica de Delegado de Protección de Datos.
  • Permitirá evitar las importantes sanciones asociadas al incumplimiento de los requisitos aplicables al tratamiento de datos personales, gracias a la articulación de los mecanismos de responsabilidad proactiva previstos.
  • Avalará la capacidad de llevar a cabo operaciones internacionales, gracias a la garantía de cumplimiento regulatorio transeuropeo que conlleva en materia de protección de datos.

Factores a tener en cuenta para la adecuación a la regulación en materia de protección de datos

  • El tamaño de la organización
  • Los procesos de la organización
  • El sector de actividad de la organización
  • Las actividades de tratamiento de datos personales realizadas
  • Las características de los datos personales tratados
  • Las medidas de seguridad existentes
  • Las medidas de privacidad existentes
  • Otros aspectos organizativos.

Fases del proceso de adecuación al RGPD

Fase 1. Lanzar el proyecto

La adecuación al RGPD debe contar con la implicación de la alta dirección de la organización, no sólo por las implicaciones que puedan tener los cambios operativos necesarios para cumplir con la citada exigencia, sino también por las implicaciones organizativas que puede tener el nombramiento del Delegado de Protección de Datos o por el impacto asociado al desarrollo del proceso de gestión de la seguridad y la privacidad que implica el principio de responsabilidad proactiva subyacente.

Fase 2. Delimitar el alcance

La organización debe identificar y registrar los tratamientos de datos personales que lleva a cabo en cada una de las actividades desarrolladas por la organización, y caracterizarlos en los términos definidos por la legislación, determinando para cada uno de ellos, entre otros aspectos, la tipología de datos tratados, su volumen, la base de legitimación por la que lleva a cabo dicho tratamiento, los medios usados para dicho tratamiento, su plazo de conservación, etc.

Fase 3. Designación de responsabilidades

Para cada uno de los tratamientos se deberán delimitar las responsabilidades internas asociadas, estableciendo las figuras que determinan la finalidad y los medios de tratamiento utilizados para cada uno de los tratamientos identificados, así como las figuras participantes en cada uno de los tratamientos, tanto desde el punto de vista del usuario de los datos personales como desde el punto de vista de sus administradores.

Así mismo, es posible que la organización requiera nombrar un Delegado de Protección de Datos, en cuyo caso se deberá garantizar que participa de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales, que dispone de los recursos necesarios tanto para el desempeño de sus funciones como para el mantenimiento de sus conocimientos especializados, y que no recibe ninguna instrucción en lo que respecta al desempeño de dichas funciones, rindiendo cuentas directamente al más alto nivel jerárquico.

Fase 4. Análisis de riesgos

Posteriormente se llevará a cabo un análisis de los riesgos de seguridad y privacidad asociados a cada uno de los tratamientos de datos personales. Se determinarán los riesgos de diversa probabilidad y gravedad que entraña cada tratamiento para los derechos y libertades de las personas físicas, así como los riesgos que presente el tratamiento como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Fase 5. Establecimiento de medidas de seguridad

Como consecuencia de dicho análisis se establecerán, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que podrán incluir:

  • La seudonimización y el cifrado de datos personales
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
  • La aplicación de un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Fase 6. Establecimiento de medidas de privacidad

Se establecerán, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas para garantizar el adecuado cumplimiento de las obligaciones de la organización y la capacidad de los interesados para practicar el ejercicio de sus derechos, que podrán incluir, entre otras:

  • El desarrollo de cláusulas informativas sobre los tratamientos
  • La recogida de formularios de consentimiento para el tratamiento de datos personales
  • La articulación de procedimientos para el ejercicio de derechos
  • La articulación contractual de los encargos de tratamiento
  • El desarrollo de las políticas de privacidad pertinentes

Fase 7. Operación y mantenimiento

La organización deberá llevar a cabo los tratamientos de datos personales de acuerdo a las políticas de privacidad y seguridad establecidas, operando y mantenimiento las medidas de seguridad y privacidad previstas de manera que los tratamientos de datos personales se mantengan siempre dentro de los parámetros previstos y no se produzcan violaciones de la seguridad de los datos de carácter personal, que en caso de producirse deberán ser gestionadas de acuerdo a lo establecido en la regulación vigente.

Las agencias de protección de datos desarrollarán las funciones de supervisión, como autoridad de control independiente, de manera que controlen la aplicación de la regulación en materia de protección de datos y la hagan aplicar, de acuerdo a lo establecido.

¿Dónde recibir asesoramiento o contratar la adecuación al RGPD?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

Agencia Española de Protección de Datos: https://www.aepd.es/es

Agencia Vasca de Protección de Datos: https://www.avpd.euskadi.eus/s04-5213/es/

RGPD: https://www.boe.es/doue/2016/119/L00001-00088.pdf

LOPDGDD: https://www.boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf  

Compartir

Compartir en Linkedin